Ограничение доступа к компьютеру из сети

Приветствую, уважаемые коллеги и участники форума.

Решил таки запостить такую тему, как ограничение доступа к компьютеру из сети, я таким образом «закручиваю» компьютеры на администрируемых мною объектах. Что это дает?
В корпоративной сети это дает ряд преимуществ в повышении эффективности защиты сети от несанкционированного доступа, предупреждает распространение вирусов и прочих сетевых угроз, для дома это защищает Ваш ПК, например, при совместном использовании WiFi с соседом, при компроментации пароля от Вашего домашнего WiFi и подключении к нему других ПК/устройств, или при попытке несанкционированного доступа находясь с "кулхацкером" в одной подсети провайдера.
Данная мера, на мой взгляд, крайне необходима для любого компьютера.
В данной статье будет представлен комплексный метод ограничения при помощи встроенного инструментария операционных систем семейства Windows.

Итак, ближе к сути.

Центр управления сетями и общим доступом.

Первым делом заходим "Пуск=>Панель управления=>Центр управления сетями и общим доступом=>Изменить дополнительные параметры общего доступа"



Изменяем (сверяем) настройки, как показано на скриншоте ниже



Там же в "Центре управления сетями и общим доступом" заходим в "Изменение параметров адаптера" выбираем активный адаптер (который служит для подключения к сети/интернету), нажимаем "Свойства" и снимаем галочку на "Служба доступа к файлам и принтерам Microsoft" и нажимаем "Ok".



Если Ваш ПК не работает в корпоративной сети и Вы не подключаетесь к принтерам и папкам, расшаренных на других ПК в локальной сети и/или к NAS-хранилищу, то можно смело отключить и "Клиент для сетей Microsoft"


Локальная политика безопасности.

Запускаем оснастку локальной политики безопасности «Win+R=>secpol.msc=>Enter», и сразу же переходим в «Параметры безопасности=>Локальные политики=>Назначение прав пользователя».
Находим там два пункта и применяем к ним следующие действия:
1. Доступ к компьютеру из сети – удаляем всех имеющихся там пользователей и групп;
2. Отказать в доступе к этому компьютеру из сети – добавляем «Все».



Внимание: данный способ неприменим к версиям "Windows Home/Basic", т.к. в них доступ к данной оснастке закрыт.
На этом этапе всё.


Брандмауэр.

Запускаем Службы: «Win+R=>services.msc=>Enter», находим службу Брандмауэра и убеждаемся, что она запущена, если отключена – запускаем.
Для большей отказоустойчивости, раз уж мы здесь, в свойствах службы на вкладке «Восстановление» выставляем перезапуск служб во всех 3(трех) случаях, а интервал перезапуска ставим на 0(ноль).



Теперь запускаем сам брандмауэр «Win+R=>wf.msc=>Enter»
В открывшемся окне переходим в «Свойства» и устанавливаем блокировку для всех профилей



После чего должно получиться следующее



Удаляем в правилах входящих подключений все.


Если необходимо сделать так, чтобы компьютер пинговался из локальной сети, то создаем правило для протокола ICMP, если нет, то оставляем пустым.
Лично я на рабочих машинах оставляю ICMP и открываю порт TCP 4899 для Radmin'а, а на домашнем ПК вообще не использую никаких правил для входящих подключений, т.е. оставляю это поле пустым.



В правилах исходящих подключений создайте настраиваемые правила следующих назначений:
Правило для портов UDP 53, 67, 68, 123 где:
Порт 53 – DNS;
Порты 67 и 68 – DHCP (если используется статический ip-адрес, то можно не открывать);
123 – NTP (используется для синхронизации времени).



Правило для портов TCP 80, 443, где:
Порт 80 – HTTP;
Порт 443 – HTTPS.
Без этих портов интернет через браузеры работать не будет.



Настраиваемое правило, в котором необходимо указать ip-адрес роутера



Остальные правила для исходящих соединений, например, открытие портов на игровые сервера, создаются по мере необходимости.
Для дома я открываю порты HTTP/HTTPS, NTP, DNS и ip-адрес роутера, в принципе, этого более чем достаточно.
Список портов TCP/UDP

Важно: необходимо в обязательном порядке отслеживать настройки брандмауэра не предмет лишних правил при установке программ, плагинов, драйверов и прочего софта!


Прочие настройки.

Теперь нужно, как говорится, "затянуть гайки".

Идем в "Свойства системы=>Настройка удаленного доступа", снимаем галку на "Разрешить подключение удаленного помощника к этому компьютеру" и попутно проверяем, чтобы был выбран пункт "Не разрешать подключаться к этому компьютеру".



Потом шагаем в "Управление компьютером=>Локальные пользователи и группы=>Пользователи"
На всякий случай, отключаем неактивных пользователей, в частности учетную запись "Гость".
На действующую учетную запись, под которой Вы работаете в системе, установите надежный пароль.



Внимание: данный способ неприменим к версиям "Windows Home/Basic", т.к. в них доступ к данным функциям закрыт.

Снова запускаем Службы: «Win+R=>services.msc=>Enter»
Останавливаем и отключаем следующие службы:
- Обнаружение SSDP;
- Общий доступ к подключению к Интернету (ICS);
- Поставщик домашней группы;
- Публикация ресурсов обнаружения функций;
- Рабочая станция;
- Сервер.

Вот так, при помощи несложных манипуляций, а главное, не прибегая к использованию сторонних программ, можно эффективно ограничить доступ к своему компьютеру из сети.

Примечание: опубликованный в данной статье метод защиты применим к операционным системам Windows 7/8/8.1/10.

7

Сообщение от Maks Если необходимо сделать так, чтобы компьютер пинговался из локальной сети, то создаем правило для протокола ICMP

как его создать то?)

0

2

Советы конечно хорошие, но скоро уже будут не акуальны, т.к. поддержка Windows 7 закончилась 14 января 2020 г. и данная ОС уже является потенциально незащищенной от новых угроз.

0

Сообщение от alexboyka Советы конечно хорошие, но скоро уже будут не акуальны, т.к. поддержка Windows 7 закончилась 14 января 2020 г.

Данная статья применима не только к Win7, но и Win8/8.1/10.

Сообщение от alexboyka данная ОС уже является потенциально незащищенной от новых угроз.

Тут бабка на двоих сказала, официальная поддержка ХР закончилась 30 сентября 2004 года, однако последнее обновление безопасности было выпущено 5 апреля 2019 года.

1

Сообщение от Maks 2. Отказать в доступе к этому компьютеру из сети – добавляем «Все».

Windows 10.
Можно поподробнее?
Захожу. В поле фигурирует один "Гость".
Поскольку сказано "добавить всех", жму "Добавить пользователя или группу".
Открывается окно выбора. И что дальше? Нет там никого!(

0

Сообщение от Bazaroff Поскольку сказано "добавить всех", жму "Добавить пользователя или группу". Открывается окно выбора. И что дальше? Нет там никого!(

Нет десятки под рукой, приложи скрин.

0

Сообщение от Maks приложи скрин.

0

Bazaroff,

2

Сообщение от Maks Доступ к компьютеру из сети – удалить всех;

Имеется в виду вовсе все из поля удалить, или пользователя/группу с именем "Все"?

0

Сообщение от Maks находим службу Брандмауэра и убеждаемся, что она запущена, если отключена – запускаем. Для большей отказоустойчивости, раз уж мы здесь, в свойствах службы на вкладке «Восстановление» выставляем перезапуск служб во всех 3(трех) случаях, а интервал перезапуска ставим на 0(ноль).

Ничего не активно. Изменить никак.
Попытался войти под админом (net user администратор /active:yes) - бестолку.(

0

Сообщение от Bazaroff Имеется в виду вовсе все из поля удалить, или пользователя/группу с именем "Все"?

Удалить всех имеющихся там пользователей.

Сообщение от Bazaroff Ничего не активно. Изменить никак.

Ничего страшного, главное, чтобы служба была запущена.

0

Maks, пошарил по гуглу. Такое впечатление, что в десятке эта возможность (изменение свойств брандмауэра через службы) отсутствует вовсе. Гугл иной раз и такое предположение "высказывает".)
Остаются только некоторые возможности через команду netsh advfirewall. По крайней мере включить-выключить и какие-то манипуляции с портами.

0

Сообщение от Maks Настраиваемое правило, в котором необходимо указать ip-адрес роутера

Простите за невежество.
Какова цель этого правила? Доступ в интернет?

0

И еще вопрос. Какие из рекомендуемых настроек необходимо изменить, добавить, или не следует применять, если это скажем ноутбук, у которого нет постоянного места пребывания?

0

Поэтому и есть несколько профилей сети, каждая со своими шаблонными настройками брандмауэра, но вы можете переиграть дефолтные политики и правила для каждого профиля под свои хотелки.

1

Сообщение от insect_87 несколько профилей сети

Но это как бы предполагает, что места пребывания ноутбука известны. Если юзер - среднестатистический пользователь. Он дал ноутбук, чтобы ему установили ОС. Как подходить к этому вопросу?
Настройка брандмауэра, доступа - это как дополнительная услуга в условиях конкуренции.
Как это все сделать, чтобы было универсально?

Добавлено через 3 минуты
До сих пор я напрочь отключал и брендмауэр, и центр безопасности. Эта тема привлекла мое внимание своим грамотным подходом. Это вполне в моих интересах сдать пользователю более отлаженную систему.

0

Есть стандартные шаблоны для частных (домашних), доменных и общедоступных профилей сетей.
Их и придерживайтесь

1

Сообщение от Bazaroff И еще вопрос. Какие из рекомендуемых настроек необходимо изменить, добавить, или не следует применять, если это скажем ноутбук, у которого нет постоянного места пребывания?

Для этого существуют доменные сети.

1

Сообщение от Jel Для этого существуют доменные сети.

В данной теме представлен способ локальной настройки брандмауэра на частной машине, причем тут домен?

Сообщение от Bazaroff Если юзер - среднестатистический пользователь. Он дал ноутбук, чтобы ему установили ОС. Как подходить к этому вопросу?

В таких случаях настройки брандмауэра обычно оставляют по умолчанию.

2