Я використовую брандмауер Windows 7 з увімкненою фільтрацією на вихід. Брандмауер Windows не надає інтерфейс користувача для нових підказок вихідного з'єднання, він просто блокує їх. Система керування брандмауером Windows вирішує це за допомогою методу вирішення - це дозволяє реєструвати журнал аудиту відмов падіння пакету / з’єднання, відстежує журнал безпеки нових записів та при необхідності відображає підказки.
Я витратив час на розробку списку вихідних дозволених правил для всіх системних служб і додатків, які потребують вихідних з'єднань. Брандмауер Windows може орієнтуватися на конкретні сервіси в svchost.exe, що дозволяє досить тонко контролювати. Я натрапив на лише дві речі, де це не працює - Мережеве відкриття та Криптографічні послуги.
Увімкнено таке правило:
netsh advfirewall firewall add rule name="Windows Cryptographic Services"
program="%SystemRoot%\System32\svchost.exe" service=CryptSvc
protocol=tcp remoteport=80,443 dir=out action=allow
Однак я все ще отримую блоки, що походять від svchost.exe, що розміщує CryptSvc, намагаючись встановити вихідні http-з'єднання, щоб перевірити сертифікати тощо. Я навіть використовував sc config CryptSvc type=own
для виділення служби у власний контейнер, щоб підтвердити, що справді CryptSvc робить ці запити. І навіть тоді правило все одно не відповідало б. Є багато інших правил з тією ж структурою, просто різні цільові служби, де все працює чудово.
Поки що я не зміг знайти задовільного рішення. Якщо дозволити "CryptSvc" все "все одно не зрівняється. Обсяг повинен бути принаймні "всіма службами", щоб він відповідав, і це занадто широко. Я можу додати правило ігнорування svchost.exe у WFC, але це, знову ж таки, занадто широко для мого вподобання. Я вважаю за краще систематичне рішення.
EDIT: При спробі редагування мого правила брандмауера з'являється поле попередження:
Служби Windows обмежені правилами, які дозволяють лише очікувану поведінку. Правила, які задають хост-процеси, такі як svchost.exe, можуть не працювати як слід, оскільки вони можуть суперечити правилам загартовування служб Windows.
Ви впевнені, що хочете створити правило, яке посилається на цей процес?
Можливо, це «загартовування» заважає механізму брандмауера для ідентифікації вихідної послуги.