Windows 7 - как заблокировать весь вх/исх трафик кроме браузера
За последние пол года винда успела превратится в троянского коня явным образом ворующего все до чего дотянется и даже старая добрая семерка теперь не безопасна и сливает данные, а то и норовит без спросу до 10ки обновится.
Тут куча рекомендаций, как отключить все лишнее и заблокировать сообщение с серверами майрософта, вот только последнее едва ли удастся, так как, как фаерволом не режь, все равно у MS найдется адрес, которого нет в блок листе. Соответственно, исходящий трафик просто пойдет по другим адресам.
Вопрос, как бы сильно не замачиваясь тупо забетонировать все сетевое сообщение, кроме одного единственного бразуера? Что бы в системе только браузер и мог интернетом пользоваться, а все остальное, посылалось нафиг, если только вручную не внесено в белый список.
pomodor
23 ноября, 2015 - 15:24
Никак. Точнее, заблокировать-то можно, но тогда и браузер перестанет загружать страницы, ибо часть сетевых служб Вантуза вынесена в svchost. Например, DNS-запрос браузер выполняет не напрямую, а через эту службу. Если мы ее выпилим, то сайты в браузере открываться перестанут. Если мы ее не выпилим, через эту службу MS может сливать данные, а вирусописатели могут прятать за ней свои зловреды. Кстати, за эту дырку в архитектуре каккеры должны уже были Microsoft памятник поставить. Никто не сделал так много для распространения сетевой заразы, сколько сделали программисты из Microsoft. ;)
«Бетонировать» лучше адресные диапазоны Microsoft. Только будьте готовы самостоятельно решать проблему с обновлениями безопасности. Имхо, проще на Linux перейти, чем пытаться противостоять программерам Microsoft, пытаться перехитрить транснациональную корпорацию, пытаться переделать троян обратно в операционную систему.
dim
23 ноября, 2015 - 16:04
И так на лине два года, но винда тоже нужна, что бы крутые игрушки поиграть или на автокаде поработать и прочее-прочее. Банально удобнее некоторые дела на винде делать.
Жаль, а я так надеялся что в винде можно тупо взять и заблокировать доступ к сети для всех системных и не системных прог, кроме браузера и других прог, которые сам явным образом указал.
pomodor
23 ноября, 2015 - 16:12
Outpost умеет это делать. Надо вырубить автосоздание правил и тогда он для каждой программы будет спрашивать, можно ли ей лезть в сеть. Но:
1) стоит денег;
2) нужно хорошо разбираться в предназначении системных файлов Вантуза.
dim
23 ноября, 2015 - 16:46
А смысл, если по вашим словам svchost нельзя блокировать? Иначе без нэта же останусь, совсем.
А если оставить доступ к сети для svchost то взаимодейтсвие с серверами MS все равно будет продолжатся, как не блокируй адресные диапазоны MS — все равно у них найдутся резервные, которых нет блок листе, а у резервных, на случай и их блока, тоже есть резервные и эта цепочка может быть пипец какой длинной.
MS может позволить себе хоть миллион идентификаторов в адресном пространстве сети и выявлять их можно бесконечно - нельзя быть уверенным что блокировал абсолютно все, а одной дырки будет достаточно, что бы слив продолжался.
dim
23 ноября, 2015 - 16:52
Хреново разбираюсь в адм.винды, не знайте, а нельзя ли на винде параллельно запустить альтернативный(программный) DNS-сервер, что бы все программы в системе через него работали, а не через svchost?
Тогда можно будить спокойно забетнировать все, белым списком, кроме этого альтернативного DNS-сервера и нужных тебе программок.
pomodor
23 ноября, 2015 - 16:57
Не совсем так. Адреса корпорациям выделяются крупными блоками и перебанить все те, которые принадлежат Microsoft не так трудно. К тому же, всегда можно запустить сетевой монитор и проверить: не сливает Вантуз данные на какой-то новый адрес. Проблема в другом: как отделить полезные сервера с обновлениями безопасности от остального шлака? По-моему, никак. Можно, конечно, внести сервера с обновлениями в список исключений, но ведь load balancer может и на другой IP направить. В общем, фигня всё это. Не стоит потраченного времени.
pomodor
23 ноября, 2015 - 17:01
Можно. Но все данные все равно пройдут через svchost. Вот:
Стоит кэширующий DNS на 192.168.1.1, но обращается к нему не Firefox, а svchost. И это логично. А как иначе проверять наличие доменного имени сначала в локальном hosts?
dim
23 ноября, 2015 - 17:25
Мда, ну а насчет обновлений, я их вообще не планирую ставить, пофиг на дыры. Так что вариант, забетонировать все это то что мне нужно, но раз это не осуществимо, что ж, печально.
А не существует способов мимо svchost в сеть обращаться? Если знайте, подскажите.
П.С. Кстати, насчет отделения полезных обновления от вредных. Вспомнил кое что, обновления безопасности можно ставить не используя штатную систему обновлений, при помощи Advenced SysytemCare PRO - эта шняга умеет вручную качать обновления и в автоматическом режиме, ставить их. При том, качаются только критически важные обновления безопасности.
jtad
23 ноября, 2015 - 23:54
svchost это просто врапер — обертка по русски, за которой прячутся настоящие службы. Если посмотреть список с помощью команды tasklist /svc, видно что стоит за каждым svchost. Стартует определенная служба, когда svchost вызывается с определенным ключем. Я конечно не супер админ, точнее не админ вообще, но от обновлений отказываться нельзя это однозначно, иначе через некоторое время будет не система а решето. Во вторых осторожней со всякими тулзами, даже с высоким рейтингом как systemcare, вы не знаете что кроме "полезного" она еще делает с системой.
pomodor
24 ноября, 2015 - 00:23
Нет, это совсем не врапер. Это механизм, который позволяет запускать несколько сетевых служб в контексте одного процесса. Типа, чтобы ресурсы экономить. Вот пример:
svchost.exe 136 AeLookupSvc, Appinfo, Browser, EapHost,
gpsvc, IKEEXT, iphlpsvc, LanmanServer,
ProfSvc, Schedule, SENS, ShellHWDetection,
Themes, Winmgmt, wuauserv
svchost.exe 1172 CryptSvc, Dnscache, LanmanWorkstation,
NlaSvc
Как видим, много всякой хрени сгруппировано, но PID у них один.
Кстати, что интересно: умные люди стараются наоборот важные процессы изолировать, а не слить их в один. Например, в Chrome каждая вкладка — это отдельный процесс. Firefox дырявый Flash запускает в отдельном контейнере. И только Microsoft запихивает потенциально уязвимые сетевые службы в один процесс.
Посмотреть-то можно, только что толку? Товарищ хотел выпилить доступ в сеть для всех программ, кроме браузера.
Я это и пытался донести до гражданина. В конце концов, это же нелогично: опасаться слива данных в Microsoft, но не переживать из-за слива данных каккерам по вине не закрытой вовремя дырки.
Забавно, фанаты Windows действительно на полном серьезе считают, что можно скачать программку, которая за них решит все проблемы со слежкой? ;)
dim
26 ноября, 2015 - 12:39
В Microsoft слив идет постоянно, а вот что бы тебе не повезло с не закрой дыркой, это уже надо самому постараться — открыть специально подготовленную страницу в IE, открыть непроверенный документ Word и прочее тому подобное.
Комментировать