Как запретить приложениям изменять политику брандмауэра Windows 7

5326
Branko

По сути, я настроил свой брандмауэр Windows так, как я хочу, но, очевидно, любое приложение может создать свое собственное правило, чтобы полностью переопределить мои настройки. Как я могу предотвратить это?

7
@HarryJohnston также у меня есть программы, которые я не запускал как администратор (Firefox, Xlight, Java SE), которые все добавили свои правила. Так что это утверждение вводит в заблуждение. Я не говорю, что это неправильно, но независимо от того, какой программе требуется повышение прав для вставки правила брандмауэра, очевидно, что этого можно добиться без нажатия «Запуск от имени администратора» Emil 6 лет назад 0
@ Эмиль, я не знаю о Xlight, но установщикам Firefox и Java требуются права администратора. Если вас не спрашивали разрешения на их запуск, ваш компьютер настроен на разрешение повышения без запроса. И вредоносная программа с повышенными привилегиями всегда сможет обойти брандмауэр, потому что программа с повышенными привилегиями может делать * все, что угодно *. Harry Johnston 6 лет назад 0
... при этом ОП хочет заблокировать добавление правил брандмауэра доброкачественным установщикам, что, безусловно, возможно (как уже описано в ответе Скотта), поэтому я не уверен, почему я сказал, что это невозможно сделать. Я удалил оскорбительный комментарий. Harry Johnston 6 лет назад 0
@HarryJohnston Я просто не понимаю, почему что-то такое чувствительное, как брандмауэр, разрешает доступ через API. Брандмауэр, который должен вас обезопасить, сам по себе должен быть защищен. Вредоносное программное обеспечение не является проблемой, так как оно может получить любой доступ, если оно «хорошее». Я беспокоюсь о законных программах с дырами в безопасности. Хотя OP принял ответ ниже, у меня все тот же вопрос, и я не нахожу ответа удовлетворительным, так как вы больше не можете вносить изменения через интерфейс брандмауэра после этого изменения. Emil 6 лет назад 0
@ Emil, вам просто нужно внести изменения через групповую политику, а не через графический интерфейс. Что касается причины API, я предполагаю, что основная причина в том, что без нее слишком много пользователей сказали бы, что «это слишком сложно», когда их попросят создать исключения вручную и отключить брандмауэр. Вместо этого вы всегда можете установить сторонний брандмауэр. Harry Johnston 6 лет назад 0
@HarryJohnston причина, по которой я хотел бы использовать брандмауэр Windows, заключается в том, что он является самым низким уровнем и должен быть наиболее надежным (в теории). Кроме того, если я использую fw стороннего производителя, не будет ли она использовать ту же подсистему, чтобы правила могли быть добавлены приложениями одинаковым образом? Что касается того, чтобы быть слишком сложным для среднего пользователя, всплывающее сообщение «Firefox хотел бы использовать Интернет: Разрешить / Запретить» просто не становится проще. Мне нравится Windows fw, потому что она очень полная, но, видимо, бесполезная. Emil 6 лет назад 0
@ Эмиль, это отвечает моим потребностям и потребностям большинства людей. Если это не соответствует вашим потребностям, используйте что-то еще. (На сторонние брандмауэры не будут влиять правила, добавленные API-интерфейсом брандмауэра Windows, если они специально не предназначены для этого. Они, конечно, могут предлагать свои собственные API-интерфейсы, но это следует задокументировать.) Harry Johnston 6 лет назад 0

2 ответа на вопрос

7
Scott Chamberlain

Да, но компьютер не допустит никаких локальных исключений, не установленных групповой политикой.

Я собираюсь предположить, что вы не находитесь в домене, но если вы очень похожи, это будет просто политика домена, а не локальная политика.

Сначала вы должны открыть локальные параметры групповой политики, открыв mmcсобираемся File->Add/Remove Snap-In...и добавив Group Policy Object Editorдля локального компьютера.

Оттуда navagate до Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall\Standard Profile\и есть два параметра, которые вы хотите задать disabled, брандмауэр Windows: Разрешить локальные исключения портов и Брандмауэр Windows: Разрешать локальные исключения для программ .

После того, как они установлены, вы больше не можете вносить какие-либо изменения в брандмауэр Windows с помощью Windows API, в том числе входить вручную и редактировать его с помощью расширенных настроек . Если вы хотите включить исключение, вам нужно сделать это через групповую политику сейчас. Вы можете установить правила в Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security - Local Group Policy Object. Эти правила будут единственными действующими правилами в вашей системе.

Если вы находитесь в домене, вам просто нужно использовать инструменты групповой политики домена вместо локальных.

0
Vimal Venugopalan

Пошаговая инструкция для блокировки приложений от изменения настроек брандмауэра:

  1. Откройте панель управления в меню «Пуск».

  2. Откройте брандмауэр Windows на панели управления. enter image description here

    Примечание. Если брандмауэр Windows недоступен, измените значки «Просмотр по» на «Большие» в правом верхнем углу панели управления.

  3. Выберите Разрешить программу или функцию через брандмауэр Windows в левом столбце окна. enter image description here

  4. Нажмите кнопку «Изменить настройки» в окне «Разрешенные программы». enter image description here
  5. Снимите флажок с программы или функции и нажмите кнопку ОК, чтобы сохранить изменения. enter image description here

Что если программы, которую я хочу заблокировать с помощью брандмауэра Windows 7, нет в списке?

  1. Следуйте инструкциям выше.
  2. Когда вы дойдете до последнего шага (выше), нажмите кнопку Разрешить другую программу.

  3. Выберите программу из списка «Добавить программу» или нажмите «Обзор», чтобы найти ее, а затем нажмите «Добавить». enter image description here

  4. Снимите флажок с программы и нажмите кнопку ОК, чтобы сохранить настройки. enter image description here

ССЫЛКА

Мне очень жаль видеть, что вы потратили время и силы на свой ответ, но я не об этом спрашивал. Я использую расширенные настройки, чтобы установить свою собственную политику, но любое приложение может изменить политику через Windows API (или некоторые другие), и я хочу запретить любому приложению изменять МОЮ политику брандмауэра. Branko 11 лет назад 1

Похожие вопросы