목표:
- Windows 10 방화벽만 사용
- 기본적으로 모든 아웃바운드 트래픽 차단
- Windows 10 업데이트 허용
- 어떤 svchost 서비스가 허용되는지 제한
새로 설치한 후 지금까지의 진행 상황은 다음과 같습니다.
- 아웃바운드 트래픽은 기본적으로 거부됩니다.
- 모든 기본 규칙이 비활성화되었습니다.
- 핵심 네트워킹 - DHCP-Out: 허용됨
- svchost TCP(원격 포트: 80, 443) 및 svchost UDP(원격 포트: 53): 허용됨
- 내가 인터넷에 연결하고 싶은 프로그램이 허용됩니다
현재 구성에서는 Windows가 성공적으로 업데이트될 수 있지만 모든 svchost 서비스(거의 200개)가 인터넷에 연결할 수 있습니다. 허용되는 svhost 서비스 수를 최소한으로 줄이고 싶습니다.
연결된 svchost 서비스를 줄이려는 또 다른 시도에서 특정 svchost 서비스에 대해 다른 규칙을 만들었지만(위에 언급된 일반 svchost 규칙을 비활성화하면서) Windows 업데이트가 작동하지 않습니다(허용된 프로그램은 작동하지만). 이번 시도에서 허용한 svchost 서비스는 다음과 같습니다.
- BITS(백그라운드 지능형 전송 서비스)
- 클라이언트 라이센스 서비스(ClipSVC)
- 보안센터
- Orchestrator 서비스 업데이트
- Windows 라이센스 관리자 서비스
- Windows 업데이트 서비스
svchost TCP(원격 포트: 80, 443) 및 svchost UDP(원격 포트: 53)를 허용한 다음 다른 svchost 서비스 각각에 대해 새 차단 규칙을 수동으로 만들어야 합니까(기본적으로 시도한 것과 반대)?
감사해요!
답변1
나도 이것을 알아 내려고 노력하고 있습니다. "Windows 방화벽 제어" 제작자는 "Windows 7에서는 svchost.exe에 대한 서비스 기반 규칙을 생성할 수 있지만 Windows 10에서는 생성할 수 없습니다." Windows 방화벽이 퇴보하여 제공하는 기능을 수행하지 못하여 svchost 산하의 개별 서비스를 차단합니다. Microsoft는 매월 둘째 주 화요일에 약 24시간 정도 Windows 업데이트를 출시합니다. 자동으로 활성화하는 작업을 생성할 수 있습니다. 매월 서비스를 호스트하고 방어자 업데이트를 위해 매일 하나씩(5~10분 동안) 또는 수동으로 생성합니다.데스크탑에서 요청 시 실행되는 작업에 대한 바로가기.
모험심이 든다면 예를 들어 모든 것을 차단하고, 패킷 로깅을 활성화하고, 모든 Windows 업데이트 서버 연결에 대해 IP 주소와 포트를 모니터링한 다음 해당 특정 IP 주소에 대해서만 svchost 출력을 허용할 수 있습니다. 윈도우 업데이트. 마지막 3자리를 .1/24로 바꾸는 cidr 형식을 사용하는 경우 시간이 지남에 따라 변경되는 경우 해당 서브넷의 모든 IP에 연결할 수 있습니다. 해당 범위 외부에 다른 IP 팝업이 표시되면 Windows 업데이트가 아니라는 것을 알게 될 것입니다. 수동으로 트리거하는 것 외에 svchost 우산 아래에서 작동하는 프로그램/서비스를 정확히 감지할 수 있는 방법은 확실하지 않습니다.
다음은 Windows Defender 방화벽용 GUI인 Windows 방화벽 제어를 사용하는 예입니다. Windows 업데이트의 경우 99로 설정된 그룹 정책 "배달 최적화" 다운로드 모드를 사용합니다. 즉, P2P나 클라우드 서비스가 없고 Microsoft 서버만 사용하므로 1,000,000,000개의 다른 IP를 얻을 수 없습니다.
원격 주소: 65.55.163.1/24,13.74.179.1/24,191.232.139.1/24,20.36.222.1/24,20.42.23.1/24,191.232.139.2/24,20.36.218.1/24,95.101.0. 1/24,95.101.1.1 /24,13.78.168.1/24,93.184.221.1/24,13.83.184.1/24,13.107.4.1/24,13.83.148.1/24
그게 Windows 10이군요.
