Правило исходящего разрешения брандмауэра Windows 7 для CryptSvc не соответствует

400
theultramage

Я использую брандмауэр Windows 7 с включенной фильтрацией исходящих сообщений. Брандмауэр Windows не предоставляет пользовательский интерфейс для новых запросов на исходящее соединение, он просто блокирует их. Контроль брандмауэра Windows решает эту проблему с помощью обходного пути - он позволяет вести журнал аудита ошибок сбоев пакетов / соединений, отслеживает в журнале безопасности новые записи и при необходимости выдает подсказки.

Я потратил время на создание списка разрешенных исходящих правил для всех системных служб и приложений, которые должны устанавливать исходящие соединения. Брандмауэр Windows может предназначаться для определенных служб в svchost.exe, позволяя довольно детализированный контроль. Я столкнулся только с двумя вещами, где это не работает - обнаружение сети и криптографические сервисы.

У меня включено следующее правило:

netsh advfirewall firewall add rule name="Windows Cryptographic Services" program="%SystemRoot%\System32\svchost.exe" service=CryptSvc  protocol=tcp remoteport=80,443 dir=out action=allow 

Тем не менее, я все еще продолжаю получать блоки, исходящие от svchost.exe, на котором размещен CryptSvc, пытаясь установить исходящие http-соединения для проверки сертификатов и тому подобное. Я даже использовал, sc config CryptSvc type=ownчтобы изолировать сервис в своем собственном контейнере, чтобы подтвердить, что это действительно CryptSvc делает эти запросы. И даже тогда правило все равно не совпадет. Есть много других правил с той же структурой, просто другой целевой сервис, где все работает просто отлично.

До сих пор я не смог найти удовлетворительного обходного пути. Разрешение «всего» для CryptSvc все равно не поможет. Объем должен быть как минимум «все услуги», чтобы соответствовать, и это слишком широк. Я могу добавить правило игнорирования для svchost.exe в WFC, но это, опять же, слишком широкое, на мой взгляд. Я бы предпочел систематическое решение.

РЕДАКТИРОВАТЬ: Попытка изменить мое правило брандмауэра выскакивает окно с предупреждением:

Службы Windows были ограничены правилами, разрешающими только ожидаемое поведение. Правила, которые определяют хост-процессы, такие как svchost.exe, могут работать не так, как ожидалось, поскольку они могут конфликтовать с правилами защиты служб Windows.

Вы уверены, что хотите создать правило, ссылающееся на этот процесс?

Возможно, это «усиление» мешает механизму брандмауэра для идентификации исходной службы.

3
Хм, я попробую, не уверен, чего это достигнет, хотя в журналах ясно сказано, что он отключается при попытках подключения к ms-серверам через порт 80. theultramage 6 лет назад 1
Я не понимаю, какова ваша главная цель. И почему вы используете Windows Firewall Control? Если вы знакомы с командной строкой, то обычный Windows Firewall ХОРОШО! Biswapriyo 6 лет назад 0
Цель состоит в том, чтобы иметь надлежащую исходящую фильтрацию, чтобы все основные службы, которым требуется доступ к сети, были защищены соответствующими правилами брандмауэра. Встроенный продукт брандмауэра Windows не предоставляет пользовательский интерфейс для новых запросов на исходящее соединение. Если вы включите «по умолчанию для запрета», вы даже не будете знать, что пытается подключиться (и когда), если не используете audpol.exe для включения ведения журнала. И даже тогда вы должны просеять весь мусор в журнале безопасности. Вот где приходит WFC, он делает это для вас. Я держусь подальше от основанных на драйверах сторонних брандмауэров, я был сожжен в прошлом. theultramage 6 лет назад 0
Что я делаю, когда использую WFC, это переводю его в режим уведомлений, поэтому всякий раз, когда что-то хочет выйти, я получаю всплывающее окно, где я могу разрешить или запретить это, это позволяет более простой способ создавать правила по мере использования, а не пользовательское руководство из них. Moab 6 лет назад 0
Проблема в том, что правило разрешения CryptSvc не соответствует, независимо от того, как я его определяю, поэтому каждый раз, когда что-то пытается сделать CRL / OCSP, оно все равно блокируется, и я получаю спам с подсказками. Мой текущий обходной путь - продолжать блокировать их (плохо для безопасности!) И отключить svchost.exe в WFC. theultramage 6 лет назад 1

0 ответов на вопрос