Como evitar qualquer modificação do firewall do Windows 10?

3

(pergunta reformulada seguindo a sugestão de Ramhound - pergunta original abaixo)

Firewall em uso: firewall padrão do Microsoft Windows 10 Configurações: tudo é bloqueado de entrada e saída, exceto se uma regra explícita permitir

Problema: quase todas as atualizações do MS, as regras são adicionadas à lista de regras. Exemplo: as exceções da Cortana são adicionadas.

Situação desejada: Um método para bloquear a modificação das regras definidas por qualquer pessoa, incluindo o próprio sistema. Somente se eu permitir explicitamente, as regras podem ser alteradas.

(pergunta original) Eu tenho a configuração de firewall do Windows 10 com regras mínimas de entrada e saída. Qualquer coisa que não esteja nas regras é bloqueada.

Mas eu percebi que, praticamente sempre que as atualizações do Windows são instaladas, regras indesejadas são adicionadas (que eu excluo assim que percebo)

Existe uma maneira de congelar totalmente a modificação de regras mesmo do próprio sistema?

Eu não quero outro firewall. Por uma vez o próprio MS é suficiente (falta apenas um modo de aprendizado / log em funcionamento)

    
por glenndm 29.10.2016 / 21:44

1 resposta

1

Eu posso entender seu desejo. É absolutamente louco o número de regras que o Windows 10 cria sem que você possa ver as regras. Aquele criado em uma base de usuário por Cortana em WF.msc é apenas um. Esta é também a razão pela qual eu não acho que o Windows 10 é mais seguro do que o Windows 7. O Plattform de filtragem é o mesmo, mas o número de serviços e tarefas em segundo plano, bem como exceções predefinidas de regras de firewall são enormes superiores ao Windows 7. Assim, a superfície de ataque é - na minha opinião - muito maior do que no Windows 7, onde você pode configurar o firewall muito rigoroso e quase sem modificações automáticas.

Para voltar à sua pergunta: não é complicado modificar o Windows-Firewall para evitar regras de firewall automáticas. O que você precisa é quebrar as permissões de herança e cópia no Registro. Tire todas as permissões de gravação para o MpsSvc e evite substituições futuras também para o System. Você pode querer criar também um novo grupo que tem o direito de alterá-los e também é proprietário dessas subchaves.

As seguintes chaves de registro armazenam as regras: "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ SharedAccess \ Parâmetros \ FirewallPolicy \ RestrictedServices" e todas as subpastas. "Estático" é configurável apenas pelo Registro, "Configurável" por linha de comando e Registro, "FirewallRules" são as regras que você pode ver em WF.msc. Se você também tiver os direitos de FirewallRules, não será possível modificar por mmc.exe / wf.msc.

No entanto, como com todos esses ajustes profundos, há mais ou menos grandes ressalvas. Se você excluir todas as regras de permissão em subpastas estáticas e configuráveis para aplicativos modernos como Cortana, Shell-Experience, AAD Broker e assim por diante, você também quebrará o Startmenu. Portanto, nada acontece quando você clica no botão porque os novos aplicativos se comunicam pela rede / Filtering-Plattform e, como você não o fez, eles não farão nada se essas regras não existirem. Especialmente o login pela primeira vez é altamente dependente dessas coisas. No entanto janelas ainda funciona como um encanto. Todos os aplicativos são mostrados na lista de tarefas, a área de trabalho ainda funciona bem e assim por diante também Shortcust como Win + R. Mas Startmenu com Cortana não.

Há também outras coisas que eu não gosto nada. Por exemplo, o MS deformou muitos Serviços que são apenas para telemetria / uso privace. Portanto, não há outro motivo técnico. Por exemplo, o AitAgent. Você não pode desativá-lo, porque você não pode vê-lo no plugin mmc.exe. Mesmo não com o SystemUtilities. Mas no Registro você vê a metade disso. Há muitas outras Tarefas e serviços relacionados à Privacidade também e, a cada atualização, há novas. Mesmo em versões LTSB-Enterprise. Na minha opinião W10 é um sistema operacional muito bom tecnicamente, mas em questões de privacidade é muito pior do que você pode esperar e MS está fazendo isso o tempo todo mais difícil impedir que você desative a porcaria. Eles coletam todos os dados e, se um usuário perdoa, clica em "não", tudo é enviado pelo ar. Para alguns ajustes você precisa iniciar no modo seguro, para alguns você precisa de uma Tarefa com "TrustedInstaller" ou Sistema, com muitos deles você pode até não usar o SystemUtilites e você tem que modificar o registro você mesmo e assim por diante.

Infelizmente não há como evitar o Windows 10 no futuro, pois o novo silício suporta apenas o Windows 10 e, sem o Windows, você não pode trabalhar em uma empresa moderna, pois a maior parte dos fornecedores de software trabalha no Windows e muitas pessoas simplesmente não se importam com essas coisas.

    
por 18.10.2017 / 16:09