Чи можна автоматично заблокувати всі додатки, що входять / виходять з Інтернетом, за винятком, наприклад, Firefox із брандмауером Windows за замовчуванням?

Я б хотів заблокувати все, навіть включаючи оновлення Windows та інші оновлення програмного забезпечення.
Я хотів би дозволити лише один веб-браузер, наприклад, Firefox, Chrome або Opera.
Як я можу налаштувати подібну конфігурацію у брандмауері Windows? Я бачу блокування програми, але, здається, вам потрібно додати по черзі, і це копітка задача.

Я хочу досягти " білого списку " - це означає, що я встановив 1 правило на брандмауері, яке говорить "заблокувати все" ( deny all any/anyде
" заперечувати " = не пропускати нічого,
" все " = всі види трафіку,
" будь-який / будь-який " = будь-яке джерело, будь-яке призначення).

Потім я створив " білий список " - означає перелік хороших напрямків, які я хочу дозволити.
Список програм, яким я хотів би надати доступ до них в мережі. Лише програма в цьому списку зможе спілкуватися.
Зауважте, що білий список відрізняється від чорного списку, оскільки білий список блокує все, а потім дозволяє кілька речей пізніше. Зважаючи на це визначення, все автоматично блокується і використовувати його не можна.

Мені б хотілося, щоб у цьому списку була опція або кнопка, щоб я могла редагувати, додавати або видаляти додаток у цьому списку вручну.

Я не фахівець, тому, будь ласка, спробуйте дати детальну відповідь, оскільки я нічого не знаю про порти та деякі інші вирази, на які я натрапив, гуглюючи це.
Спасибі,

Вам не потрібне програмне забезпечення сторонніх брандмауерів.

За замовчуванням брандмауер Windows працює таким чином:

• Вхідні - заблокуйте всі, якщо не в списку (Білий список)
• Вихідні - Дозволити всі, якщо не в списку (Чорний список)

За замовчуванням потрібно заблокувати всі вхідні та всі вихідні з'єднання.

1. Перейдіть до: Панель управління \ Система та безпека \ Брандмауер Windows

2. Там правою кнопкою миші, як показано на знімку екрана, щоб отримати властивості:

   

3. Змінення вихідних підключень на блок для кожного профілю Тепер ви можете додати до списку лише ті програми, які ви хочете.

Ви можете імпортувати / експортувати правила, клацнувши правою кнопкою миші таку ж, як на знімку екрана, та вибравши Експортну політику. Це все імпортує / експортує. Таким чином, ви можете експериментувати, відключаючи правила та роблячи машину більш захищеною. Наприклад, мої налаштування такі (крім моїх програм):

Вхідне - тут немає жодного правила!

Увімкнено лише "Основна мережа - DNS (UDP-вихід)"

Якщо ви використовуєте OpenVPN, вам також потрібно буде додати ще два вихідних правила:

Основна мережа - Протокол конфігурації динамічного хоста (DHCP-Out)
та правило, яке дозволяє openvpn.exe

У піднятому вікні оболонки зробіть

Встановіть усі профілі для блокування вхідного / вихідного трафіку:

netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound

Видаліть усі правила:

netsh advfirewall firewall delete rule all

Дозволити основні вихідні правила для портів 80,443,53,67,68

netsh advfirewall firewall add rule name="Core Networking (HTTP-Out)" dir=out action=allow protocol=TCP remoteport=80
netsh advfirewall firewall add rule name="Core Networking (HTTPS-Out)" dir=out action=allow protocol=TCP remoteport=443
netsh advfirewall firewall add rule name="Core Networking (DNS-Out)" dir=out action=allow protocol=UDP remoteport=53 program="%%systemroot%%\system32\svchost.exe" service="dnscache"
netsh advfirewall firewall add rule name="Core Networking (DHCP-Out)" dir=out action=allow protocol=UDP localport=68 remoteport=67 program="%%systemroot%%\system32\svchost.exe" service="dhcp"

І відновити брандмауер до значень за замовчуванням

NETSH advfirewall reset

** Усі зміни набирають чинності негайно

Ще один дуже корисний, потужний і звичайно безкоштовний тут:

TinyWall
TinyWall застосовує інший підхід від традиційних брандмауерів. Він не відображає спливаючі вікна, які "закликають користувачів дозволити". Насправді він взагалі не сповістить вас про будь-які заблоковані дії.
Замість того, щоб показувати спливаючі вікна, TinyWall полегшує створення списку або розблокування програм різними способами.
Наприклад, ви можете просто ініціювати білий список гарячою клавішею, а потім натиснути на вікно, яке ви хочете дозволити. Або ви можете вибрати додаток зі списку запущених процесів.

Звичайно, працює і традиційний спосіб вибору виконуваного файлу. Такий підхід дозволяє уникнути спливаючих вікон, але все-таки зберігає брандмауер дуже простим у використанні.

Найголовніше, що при підході до спливаючого вікна користувач помітить, що програмі було відмовлено у доступі до Інтернету, коли він більше не може ним користуватися.
Отже, користувачі розблокують лише ті програми, які їм насправді потрібні, і вже не більше, що оптимально з точки зору безпеки.

Огляд функцій

• Кілька і простих способів білого списку програм
• Автоматичний режим навчання
• Захист від несанкціонованого захисту від брандмауера
• Блокування пароля налаштувань
• Швидкі режими, такі як Нормальний захист, Дозволити вихідний, Блокувати всі, Дозволити всі та Режим навчання
• Підтримка тимчасових / приурочених правил брандмауера
• Блоки списків портів та доменів
• Захист файлів хостів
• Можливість завжди дозволяти спілкування в локальній мережі
• Можливість обмеження програми до локальної мережі
• Визнання безпечного програмного забезпечення та самозванців
• Повна підтримка IPv6
• Список встановлених та заблокованих з'єднань
• Перегляд відкритих портів на вашій машині
• 100% безкоштовне та чисте програмне забезпечення. Без комісій, без реклами, без платних оновлень.

Thiny wallБілий список ви можете побачити на зображенні нижче:

Блокування брандмауера App

Firewall App BlockerРежим WhiteList: Він заблокує все, крім білого списку елементів, щоб активувати його, позначте поле "Увімкнути WhiteList" у правому нижньому куті.
Режим білого списку забороняє доступ до всіх мережевих інтерфейсів. Після ввімкнення режиму WhiteList перетягніть програму / програми на інтерфейс «Блокувальник додатків брандмауера», щоб дозволити їй / їм, це була найпотрібніша функція:

Якщо ви хочете використовувати Internet Security (KIS) або Безкоштовний брандмауер Comodo (CFF) :
Білі списки брандмауера Comodo допоможуть вам, включивши всі елементи нижче, і більше нічого не дозволено в систему:

• Веб-сайти
• Мережі
• Люди / пристрої
• Програмні програми

Інструкція щодо створення білого списку:
Вам слід заблокувати все, окрім DNSвеб-браузерів, для цього перейдіть до Advanced settings -> firewall settingsта ввімкніть "НЕ показувати спливаючі сповіщення" та змініть спадне меню на Block Requests. Це заблокує все, що не має для нього створеного правила.

Тепер створити правила для своїх додатків.
1- Перейти до add > browse > file groups > all applicatoins > use ruleset blocked application.

2 Потім додайте ще одне правило , і натисніть Browse > Running Processes > select svchost.exeпотім Use a custom ruleset > add block IP In or out then add another rule to allow UDP out destination port 53.

3- Щоб дозволити веб-переглядачу перейти до Advanced settings -> firewall settings -> applications rulesдодавання будь-якого браузера, до якого ви хочете дозволити доступ,
додайте нове правило та надайте йому дозвіл Web Browserабо Allowed Applicationнабір правил.

4- Що стосується оновлення Windows, я не зовсім впевнений, для яких процесів потрібен доступ до Інтернету, тому, можливо, хтось інший може дати нам деяке розуміння.
Я думаю, що основний exe знаходиться під, C:\Windows\System32\wuauclt.exeале він також використовує svchost.exe.

Процес буде однаковим для додавання будь-якої іншої програми, до якої ви хочете дозволити доступ.

Важливо: Брандмауери робота в ієрархічній структурі, тому з TOPщоб таким BOTTOMчином, тому правила , щоб дозволити, завжди повинні бути додані до (вище) , ніж правило блокувати всі !!

Нарешті ви можете побачити конфігурацію брандмауера Comodo нижче:

Для імпорту / експорту та керування особистими конфігураціями

Я досліджував брандмауер Windows, і, схоже, його модуль фільтрації вихідного трафіку працює лише в режимі чорного списку. Іншими словами, він перевіряє з'єднання проти всіх правил, і якщо він не знайде правила відповідності, він дозволяє з'єднання.

Хоча ваше питання стосується лише брандмауера Windows, можливо, вам здається корисним знати, що є сторонні особисті брандмауери, які дійсно можуть працювати в режимі білого списку. Comodo Internet Security, ESET Internet Security та ZoneAlarm можуть бути налаштовані для роботи в режимі білого списку.

Коли я кажу, що налаштовано, я маю на увазі, що ви повинні змінити їх конфігурацію за замовчуванням. Наприклад, у випадку безпеки Comodo Internet Security ви повинні перейти в режим на основі політики. Також за замовчуванням Comodo Internet Security дозволяє додаткам Windows Store мати доступ до Інтернету, але ви також можете скасувати це.

Безкоштовний брандмауер Evorim

Ви можете використовувати Evorim Free Firewallі поставити Evorim в "Параноїдальний режим", щоб заблокувати все, крім того, що ви хочете дозволити.

Параноїдальний режим
Нікому не довіряйте! У режимі Paranoid жодне програмне забезпечення не може отримати доступ до Інтернету чи мережі без вашого попереднього згоди. Тільки додатки, яким ви довіряєте, отримують доступ до Інтернету.

Проблема з відключенням всіх вихідних з'єднань полягає в тому, що брандмауер Windows не повідомляє вас, коли процеси намагаються встановити вихідні з'єднання. Це означає, що вам доведеться перевіряти журнали, щоб дізнатися про них, або використовувати для кращого контролю безкоштовне управління брандмауером Windows .

Ви також можете використовувати сторонній брандмауер, який дозволяє краще контролювати, наприклад, брандмауер Comodo Free .

Щоб відключити всі вихідні правила за допомогою брандмауера Microsoft:

1. Введіть аплетний брандмауер Windows із розширеною безпекою
2. Клацніть правою кнопкою миші Брандмауер Windows із розширеною безпекою на локальному комп’ютері
3. Виберіть Властивості
4. У діалоговому вікні, що відкриється, виберіть свій профіль: Домен, приватний або загальнодоступний.
5. Встановіть вихідні з'єднання на Блокувати та натисніть кнопку ОК
6. Клацніть на Вихідні правила
7. Виберіть і вимкніть правила, які ви не хочете дозволити, натиснувши Вимкнути правило . Ви також можете ввести перший Ctrl+, Aщоб вибрати всі правила, а потім після відключення їх усіх увімкнути або додати дозволені правила.

Я використовую відповідь @Hames, яка є відмінною. У моєму Windows 7 мені довелося трохи змінити його, щоб він працював ( %%systemroot%%не працював під час копіювання / вставки в cmd.exe)

netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound
netsh advfirewall firewall delete rule all
netsh advfirewall firewall add rule name="Core Networking (DNS-Out)" dir=out action=allow protocol=UDP remoteport=53 program="c:\windows\system32\svchost.exe" service="dnscache"
netsh advfirewall firewall add rule name="Core Networking (DHCP-Out)" dir=out action=allow protocol=UDP localport=68 remoteport=67 program="c:\windows\system32\svchost.exe" service="dhcp"
netsh advfirewall firewall add rule name="Chrome" dir=out action=allow program="C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
netsh advfirewall firewall add rule name="Firefox" dir=out action=allow program="C:\Program Files\Mozilla Firefox\firefox.exe"

Крім того, на відміну від пов’язаної відповіді, я не дозволяю порти 80/443 за замовчуванням для всіх програм, але я белю їх в окремому списку (наприклад, Firefox, Chrome тощо)

Програмне забезпечення Blumentals Surfblocker

За допомогою Surfblocker ви можете легко обмежити доступ до Інтернету у визначений час або на вимогу.
Ви можете дозволити та заблокувати веб-сайти та обмежити, які програми та функції мають доступ до Інтернету. Наприклад, ви можете дозволити лише електронну пошту та працювати або вивчати пов'язані веб-сайти.
Ви також можете просто захистити паролем Інтернет-з'єднання або встановити його автоматичне відключення через певний час. Звичайно, ви також можете автоматично блокувати шкідливий та небезпечний вміст.

Дозволити лише роботи, пов’язані з роботою. Дозволити веб-сайти та програми, пов’язані з роботою, блокуючи все інше

Дозволити лише вказані послуги або програми, такі як електронна пошта

Ви можете заблокувати доступ до Інтернету, дозволяючи лише певні Інтернет-сервіси чи програми. Для цього виконайте такі дії:

1. Запустіть Surfblocker, введіть свій пароль Surfblocker (якщо вимагається).
2. Перевірити Блокувати все.
3. Клацніть Винятки та під розділом Дозволені служби позначте послуги, які ви хочете дозволити.
4. Клацніть Винятки та в розділі Дозволені програми додайте програми, які ви хочете дозволити.

SimpleWall

Опис:

Простий інструмент для налаштування платформи фільтрування Windows (WFP), яка може налаштувати мережеву діяльність на вашому комп'ютері.

Легкий додаток менше мегабайт, і він сумісний з Windows Vista та більш високими операційними системами.
Для правильної роботи потрібні права адміністратора.

Особливості:

• Безкоштовно та з відкритим кодом
• Простий інтерфейс без дратівливих спливаючих вікон
• Редактор правил (створіть власні правила)
• Внутрішній список блоків (блок Windows шпигун / телеметрія)
• Інформація про пакети, що випали, із повідомленням та входом у функцію файлу (win7 +)
• Дозволена інформація про пакети із входом у функцію файлу (win8 +)
• Підтримка Windows для підтримки Linux (WSL) (win10)
• Підтримка магазину Windows (win8 +)
• Служба підтримки Windows
• Підтримка локалізації
• Підтримка IPv6

Веб-сайт: www.henrypp.org

Керування брандмауером Windows

Windows Firewall Controlце потужний інструмент, який розширює функціонал брандмауера Windows і надає нові додаткові функції, завдяки чому брандмауер Windows стає кращим.
Він працює в системному треї і дозволяє користувачеві легко керувати нативним брандмауером, не витрачаючи часу, переходячи до конкретної частини брандмауера.

Це інструмент для управління нативним брандмауером з Windows 10, 8.1, 8, 7, Server 2016, Server 2012. Управління брандмауером Windows пропонує чотири режими фільтрації, які можна перемикати лише клацанням миші: Висока фільтрація - Усі вихідні та вхідні з'єднання. заблоковані. Цей профіль блокує всі спроби підключення до комп'ютера та з нього.

Середня фільтрація - вихідні з'єднання, які не відповідають правилу, блокуються. Тільки програми, які ви дозволяєте, можуть ініціювати вихідні з'єднання.

Низька фільтрація - дозволені вихідні з'єднання, які не відповідають правилу. Користувач може заблокувати програми, які він не хоче дозволити ініціювати вихідні з'єднання.

Без фільтрування - Брандмауер Windows вимкнено. Уникайте використання цього налаштування, якщо у вас на комп’ютері не працює інший брандмауер.

Система керування брандмауером Windows не здійснює фільтрації пакетів і не блокує та не допускає жодного з'єднання. Це робиться самим Брандмауером Windows на основі існуючих правил брандмауера.