%20%D0%B2%20%D0%B1%D1%80%D0%B0%D0%BD%D0%B4%D0%BC%D0%B0%D1%83%D1%8D%D1%80%D0%B5.png)
Я решил использовать подход с использованием белого списка для защиты своей среды (т. е. блокировать все входящие/исходящие соединения по умолчанию, если не указано иное).
Мне нужно добавить в белый список некоторые приложения Windows (не все), такие как Powershell, cmd, удаленный рабочий стол в брандмауэре. Однако простое добавление cmd.exe, MSTSC.exe и т. д. не решает проблему. Я уверен, что эти приложения имеют определенные зависимости от других приложений для сетевого подключения, но я не знаю, какие именно.
Например, простое добавление в белый список файлов openssh system32 не предоставляет доступ к ssh в PowerShell. Я получаю ошибку «отказано в доступе» при повышенном доступе (отключение брандмауэра исправляет это, поэтому это должно быть исправлено соответствующими правилами брандмауэра).
Открытие портов не вариант, потому что, открыв порт, другие приложения, которые мне не нравятся, также получат доступ к этому порту. Например, я хочу сделать curl на cmd, но не хочу, чтобы другие приложения имели доступ к порту 443.
Более того, внесение в черный список не является вариантом, поскольку количество приложений, которые мне нужно заблокировать, значительно превышает количество этих трех приложений, которые мне нужны.
решение1
Windows 11: Разрешите System32/svchost.exe в брандмауэре, тогда все будет работать.
PS: вот некоторые наблюдения по поводу svchost.
Достаточно интересно, что после блокировки этого файла Windows теряет свою интернет-функциональность через несколько минут. Я хотел узнать почему, поэтому заблокировал все, кроме этого файла, и заметил, что он отправляет много зашифрованных пакетов в сторону Microsoft и некоторых неизвестных IP-адресов, хотя я отключил телеметрию, обновление Windows и т. д. в реестре. После блокировки svchost Windows снова пытается отправить эти пакеты, однако после нескольких минут неудачи все интернет-соединение отключается.
Это интересно, потому что, похоже, некоторые приложения, такие как Firefox, работают без svhost в течение нескольких минут, поэтому им, вероятно, svhost не нужен(?) для доступа к интернету (в отличие от powershell, который теряет свою функциональность сразу после блокировки svhost), но тем не менее Windows решает полностью отключить интернет. Это также может быть связано сПолностью ли брандмауэр Windows блокирует телеметрию Windows?также, поскольку оба замечания о поведении брандмауэра неверны. IP-адреса Windows не зашиты в брандмауэр (если бы это было так, то после блокировки всего, включая svhost, мы все равно могли бы видеть пакеты tls, но это не так), и также мы не можем запретить Windows отправлять эти пакеты, блокируя все, потому что svhost, тем не менее, должен быть в белом списке брандмауэра.