Форум программистов, компьютерный форум, киберфорум
Администрирование Windows
Войти
Регистрация
Восстановить пароль
Блоги Сообщество Поиск Заказать работу  
 
 
Рейтинг 4.54/302: Рейтинг темы: голосов - 302, средняя оценка - 4.54
Супер-модератор
Эксперт 1СЭксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
 Аватар для Maks
9393 / 5191 / 621
Регистрация: 13.03.2013
Сообщений: 18,296
Записей в блоге: 17

Ограничение доступа к компьютеру из сети

10.06.2020, 12:28. Показов 74144. Ответов 45
Метки нет (Все метки)

Студворк — интернет-сервис помощи студентам
Приветствую, уважаемые коллеги и участники форума.

Решил таки запостить такую тему, как ограничение доступа к компьютеру из сети, я таким образом «закручиваю» компьютеры на администрируемых мною объектах. Что это дает?
В корпоративной сети это дает ряд преимуществ в повышении эффективности защиты сети от несанкционированного доступа, предупреждает распространение вирусов и прочих сетевых угроз, для дома это защищает Ваш ПК, например, при совместном использовании WiFi с соседом, при компроментации пароля от Вашего домашнего WiFi и подключении к нему других ПК/устройств, или при попытке несанкционированного доступа находясь с "кулхацкером" в одной подсети провайдера.
Данная мера, на мой взгляд, крайне необходима для любого компьютера.
В данной статье будет представлен комплексный метод ограничения при помощи встроенного инструментария операционных систем семейства Windows.

Итак, ближе к сути.

Центр управления сетями и общим доступом.

Первым делом заходим "Пуск=>Панель управления=>Центр управления сетями и общим доступом=>Изменить дополнительные параметры общего доступа"



Изменяем (сверяем) настройки, как показано на скриншоте ниже



Там же в "Центре управления сетями и общим доступом" заходим в "Изменение параметров адаптера" выбираем активный адаптер (который служит для подключения к сети/интернету), нажимаем "Свойства" и снимаем галочку на "Служба доступа к файлам и принтерам Microsoft" и нажимаем "Ok".



Если Ваш ПК не работает в корпоративной сети и Вы не подключаетесь к принтерам и папкам, расшаренных на других ПК в локальной сети и/или к NAS-хранилищу, то можно смело отключить и "Клиент для сетей Microsoft"


Локальная политика безопасности.

Запускаем оснастку локальной политики безопасности «Win+R=>secpol.msc=>Enter», и сразу же переходим в «Параметры безопасности=>Локальные политики=>Назначение прав пользователя».
Находим там два пункта и применяем к ним следующие действия:
1. Доступ к компьютеру из сети – удаляем всех имеющихся там пользователей и групп;
2. Отказать в доступе к этому компьютеру из сети – добавляем «Все».



Внимание: данный способ неприменим к версиям "Windows Home/Basic", т.к. в них доступ к данной оснастке закрыт.
На этом этапе всё.


Брандмауэр.

Запускаем Службы: «Win+R=>services.msc=>Enter», находим службу Брандмауэра и убеждаемся, что она запущена, если отключена – запускаем.
Для большей отказоустойчивости, раз уж мы здесь, в свойствах службы на вкладке «Восстановление» выставляем перезапуск служб во всех 3(трех) случаях, а интервал перезапуска ставим на 0(ноль).



Теперь запускаем сам брандмауэр «Win+R=>wf.msc=>Enter»
В открывшемся окне переходим в «Свойства» и устанавливаем блокировку для всех профилей



После чего должно получиться следующее



Удаляем в правилах входящих подключений все.

КАК СОЗДАТЬ ПРАВИЛО В БРАНДМАУЭРЕ
Создаем правило в брандмауэре, в данном случае, открываем порты для исходящих соединений:



Если требуется создать правило для ip-адреса, то на втором этапе выбираем тип правила "Настраиваемые":


Если необходимо сделать так, чтобы компьютер пинговался из локальной сети, то создаем правило для протокола ICMP, если нет, то оставляем пустым.
Лично я на рабочих машинах оставляю ICMP и открываю порт TCP 4899 для Radmin'а, а на домашнем ПК вообще не использую никаких правил для входящих подключений, т.е. оставляю это поле пустым.



В правилах исходящих подключений создайте настраиваемые правила следующих назначений:
Правило для портов UDP 53, 67, 68, 123 где:
Порт 53 – DNS;
Порты 67 и 68 – DHCP (если используется статический ip-адрес, то можно не открывать);
123 – NTP (используется для синхронизации времени).



Правило для портов TCP 80, 443, где:
Порт 80 – HTTP;
Порт 443 – HTTPS.
Без этих портов интернет через браузеры работать не будет.



Настраиваемое правило, в котором необходимо указать ip-адрес роутера



Остальные правила для исходящих соединений, например, открытие портов на игровые сервера, создаются по мере необходимости.
Для дома я открываю порты HTTP/HTTPS, NTP, DNS и ip-адрес роутера, в принципе, этого более чем достаточно.
Список портов TCP/UDP

Важно: необходимо в обязательном порядке отслеживать настройки брандмауэра не предмет лишних правил при установке программ, плагинов, драйверов и прочего софта!


Прочие настройки.

Теперь нужно, как говорится, "затянуть гайки".

Идем в "Свойства системы=>Настройка удаленного доступа", снимаем галку на "Разрешить подключение удаленного помощника к этому компьютеру" и попутно проверяем, чтобы был выбран пункт "Не разрешать подключаться к этому компьютеру".



Потом шагаем в "Управление компьютером=>Локальные пользователи и группы=>Пользователи"
На всякий случай, отключаем неактивных пользователей, в частности учетную запись "Гость".
На действующую учетную запись, под которой Вы работаете в системе, установите надежный пароль.



Внимание: данный способ неприменим к версиям "Windows Home/Basic", т.к. в них доступ к данным функциям закрыт.

Снова запускаем Службы: «Win+R=>services.msc=>Enter»
Останавливаем и отключаем следующие службы:
- Обнаружение SSDP;
- Общий доступ к подключению к Интернету (ICS);
- Поставщик домашней группы;
- Публикация ресурсов обнаружения функций;
- Рабочая станция;
- Сервер.
Чтобы не останавливать и не отключать службы руками, можно воспользоваться этим скриптом
Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
@echo off
::Остановка и отключение служб
::Обнаружение SSDP
echo net stop SSDPSRV
echo sc config SSDPSRV start= disabled
::Общий доступ к подключению к Интернету (ICS)
echo net stop SharedAccess
echo sc config SharedAccess start= disabled
::Поставщик домашней группы
echo net stop HomeGroupProvider
echo sc config HomeGroupProvider start= disabled
::Публикация ресурсов обнаружения функций
echo net stop FDResPub
echo sc config FDResPub start= disabled
::Рабочая станция
echo net stop LanmanWorkstation
echo sc config LanmanWorkstation start= disabled
::Сервер
echo net stop LanmanServer
echo sc config LanmanServer start= disabled
::Завершение работы интерпретатора
Exit /b

Вот так, при помощи несложных манипуляций, а главное, не прибегая к использованию сторонних программ, можно эффективно ограничить доступ к своему компьютеру из сети.

Примечание: опубликованный в данной статье метод защиты применим к операционным системам Windows 7/8/8.1/10.
7
IT_Exp
Эксперт
34794 / 4073 / 2104
Регистрация: 17.06.2006
Сообщений: 32,602
Блог
10.06.2020, 12:28
Ответы с готовыми решениями:

Нет доступа к компьютеру по сети
Добрый день Всем, уважаемые форумчане! Подскажите пожалуйста, на компьютере win7 расшарен принтер (общий доступ) с одного...

Нет доступа к компьютеру как обьекту локальной сети а его папкам есть
В домашней сети три компьютера, два Win10pro, один Windows8.1pro Комп номер 1 Dell-T5820 (win10) видит оба других и имеет доступ к...

Нет доступа к компьютеру по сети
Подскажите, пожалуйста, если кто в курсе. Было три компа Win-XP-SP3 в сети. Один из них стал "глючить" и я переустановил его...

45
Ценитель прекрасного
 Аватар для Whinter
37 / 35 / 5
Регистрация: 03.06.2020
Сообщений: 149
12.06.2020, 07:36
Цитата Сообщение от Maks Посмотреть сообщение
Если необходимо сделать так, чтобы компьютер пинговался из локальной сети, то создаем правило для протокола ICMP
как его создать то?)
0
Супер-модератор
Эксперт 1СЭксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
 Аватар для Maks
9393 / 5191 / 621
Регистрация: 13.03.2013
Сообщений: 18,296
Записей в блоге: 17
12.06.2020, 07:55  [ТС]
Как создать правило в брандмауэре для ICMP
2
67 / 65 / 4
Регистрация: 29.04.2015
Сообщений: 364
02.08.2020, 21:41
Советы конечно хорошие, но скоро уже будут не акуальны, т.к. поддержка Windows 7 закончилась 14 января 2020 г. и данная ОС уже является потенциально незащищенной от новых угроз.
0
Супер-модератор
Эксперт 1СЭксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
 Аватар для Maks
9393 / 5191 / 621
Регистрация: 13.03.2013
Сообщений: 18,296
Записей в блоге: 17
03.08.2020, 06:19  [ТС]
Цитата Сообщение от alexboyka Посмотреть сообщение
Советы конечно хорошие, но скоро уже будут не акуальны, т.к. поддержка Windows 7 закончилась 14 января 2020 г.
Данная статья применима не только к Win7, но и Win8/8.1/10.
Цитата Сообщение от alexboyka Посмотреть сообщение
данная ОС уже является потенциально незащищенной от новых угроз.
Тут бабка на двоих сказала, официальная поддержка ХР закончилась 30 сентября 2004 года, однако последнее обновление безопасности было выпущено 5 апреля 2019 года.
1
 Аватар для Bazaroff
288 / 93 / 11
Регистрация: 29.05.2011
Сообщений: 2,423
06.08.2020, 09:54
Цитата Сообщение от Maks Посмотреть сообщение
2. Отказать в доступе к этому компьютеру из сети – добавляем «Все».
Windows 10.
Можно поподробнее?
Захожу. В поле фигурирует один "Гость".
Поскольку сказано "добавить всех", жму "Добавить пользователя или группу".
Открывается окно выбора. И что дальше? Нет там никого!(
0
Супер-модератор
Эксперт 1СЭксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
 Аватар для Maks
9393 / 5191 / 621
Регистрация: 13.03.2013
Сообщений: 18,296
Записей в блоге: 17
06.08.2020, 11:31  [ТС]
Цитата Сообщение от Bazaroff Посмотреть сообщение
Поскольку сказано "добавить всех", жму "Добавить пользователя или группу".
Открывается окно выбора. И что дальше? Нет там никого!(
Нет десятки под рукой, приложи скрин.
0
 Аватар для Bazaroff
288 / 93 / 11
Регистрация: 29.05.2011
Сообщений: 2,423
06.08.2020, 11:52
Цитата Сообщение от Maks Посмотреть сообщение
приложи скрин.
0
Супер-модератор
Эксперт 1СЭксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
 Аватар для Maks
9393 / 5191 / 621
Регистрация: 13.03.2013
Сообщений: 18,296
Записей в блоге: 17
06.08.2020, 13:37  [ТС]
Bazaroff,
Кликните здесь для просмотра всего текста
2
 Аватар для Bazaroff
288 / 93 / 11
Регистрация: 29.05.2011
Сообщений: 2,423
07.08.2020, 23:26
Цитата Сообщение от Maks Посмотреть сообщение
Доступ к компьютеру из сети – удалить всех;
Имеется в виду вовсе все из поля удалить, или пользователя/группу с именем "Все"?
0
 Аватар для Bazaroff
288 / 93 / 11
Регистрация: 29.05.2011
Сообщений: 2,423
07.08.2020, 23:49
Цитата Сообщение от Maks Посмотреть сообщение
находим службу Брандмауэра и убеждаемся, что она запущена, если отключена – запускаем.
Для большей отказоустойчивости, раз уж мы здесь, в свойствах службы на вкладке «Восстановление» выставляем перезапуск служб во всех 3(трех) случаях, а интервал перезапуска ставим на 0(ноль).
Ничего не активно. Изменить никак.
Попытался войти под админом (net user администратор /active:yes) - бестолку.(

0
Супер-модератор
Эксперт 1СЭксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
 Аватар для Maks
9393 / 5191 / 621
Регистрация: 13.03.2013
Сообщений: 18,296
Записей в блоге: 17
08.08.2020, 05:50  [ТС]
Цитата Сообщение от Bazaroff Посмотреть сообщение
Имеется в виду вовсе все из поля удалить, или пользователя/группу с именем "Все"?
Удалить всех имеющихся там пользователей.
Цитата Сообщение от Bazaroff Посмотреть сообщение
Ничего не активно. Изменить никак.
Ничего страшного, главное, чтобы служба была запущена.
0
 Аватар для Bazaroff
288 / 93 / 11
Регистрация: 29.05.2011
Сообщений: 2,423
08.08.2020, 10:13
Maks, пошарил по гуглу. Такое впечатление, что в десятке эта возможность (изменение свойств брандмауэра через службы) отсутствует вовсе. Гугл иной раз и такое предположение "высказывает".)
Остаются только некоторые возможности через команду netsh advfirewall. По крайней мере включить-выключить и какие-то манипуляции с портами.
0
 Аватар для Bazaroff
288 / 93 / 11
Регистрация: 29.05.2011
Сообщений: 2,423
19.08.2020, 01:56
Цитата Сообщение от Maks Посмотреть сообщение
Настраиваемое правило, в котором необходимо указать ip-адрес роутера
Простите за невежество.
Какова цель этого правила? Доступ в интернет?
0
 Аватар для Bazaroff
288 / 93 / 11
Регистрация: 29.05.2011
Сообщений: 2,423
19.08.2020, 15:47
И еще вопрос. Какие из рекомендуемых настроек необходимо изменить, добавить, или не следует применять, если это скажем ноутбук, у которого нет постоянного места пребывания?
0
Эксперт по компьютерным сетям
 Аватар для insect_87
11438 / 7007 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
19.08.2020, 16:48
Поэтому и есть несколько профилей сети, каждая со своими шаблонными настройками брандмауэра, но вы можете переиграть дефолтные политики и правила для каждого профиля под свои хотелки.
1
 Аватар для Bazaroff
288 / 93 / 11
Регистрация: 29.05.2011
Сообщений: 2,423
19.08.2020, 17:03
Цитата Сообщение от insect_87 Посмотреть сообщение
несколько профилей сети
Но это как бы предполагает, что места пребывания ноутбука известны. Если юзер - среднестатистический пользователь. Он дал ноутбук, чтобы ему установили ОС. Как подходить к этому вопросу?
Настройка брандмауэра, доступа - это как дополнительная услуга в условиях конкуренции.
Как это все сделать, чтобы было универсально?

Добавлено через 3 минуты
До сих пор я напрочь отключал и брендмауэр, и центр безопасности. Эта тема привлекла мое внимание своим грамотным подходом. Это вполне в моих интересах сдать пользователю более отлаженную систему.
0
Эксперт по компьютерным сетям
 Аватар для insect_87
11438 / 7007 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
19.08.2020, 18:59
Есть стандартные шаблоны для частных (домашних), доменных и общедоступных профилей сетей.
Их и придерживайтесь
1
Робот сгибальщик
 Аватар для Jel
1959 / 691 / 135
Регистрация: 29.07.2020
Сообщений: 3,652
Записей в блоге: 9
01.09.2020, 15:30
Цитата Сообщение от Bazaroff Посмотреть сообщение
И еще вопрос. Какие из рекомендуемых настроек необходимо изменить, добавить, или не следует применять, если это скажем ноутбук, у которого нет постоянного места пребывания?
Для этого существуют доменные сети.
1
Супер-модератор
Эксперт 1СЭксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
 Аватар для Maks
9393 / 5191 / 621
Регистрация: 13.03.2013
Сообщений: 18,296
Записей в блоге: 17
15.09.2020, 06:14  [ТС]
Цитата Сообщение от Jel Посмотреть сообщение
Для этого существуют доменные сети.
В данной теме представлен способ локальной настройки брандмауэра на частной машине, причем тут домен?
Цитата Сообщение от Bazaroff Посмотреть сообщение
Если юзер - среднестатистический пользователь. Он дал ноутбук, чтобы ему установили ОС. Как подходить к этому вопросу?
В таких случаях настройки брандмауэра обычно оставляют по умолчанию.
2
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
BasicMan
Эксперт
29316 / 5623 / 2384
Регистрация: 17.02.2009
Сообщений: 30,364
Блог
15.09.2020, 06:14
Помогаю со студенческими работами здесь

нет доступа к компьютеру по локальной сети
Здравствуйте, у меня пропала локальная сеть на компе под управлением windows 7. И все найденные мной способы в интернете не помогли....

Ограничение доступа к компьютеру из локальной сети
задача: нужно ограничить или хотя бы выявить подключения к компьютеру в локальной сети администратора сети. нужно сделать так, чтобы админы...

Нет доступа к компьютеру в сети
Добрый день! В организации возникла необходимость поменять ip-ардеса. Были динамические, выдаваемые DHCP-сервером. Прописал статику. И...

Нет доступа к компьютеру в Локальной Сети !
Я переустановил свой Виндовс 7 Про (64-бит). Предистория. У меня с ОЕМ-редакции (HP) слетела активация. Долгое время работал с...

Нет доступа к компьютеру в сети, а также отваливаются принтеры!
Доброго времени суток уважаемые КИБЕРФОРУМчане! Хотелось бы услышать может кто-нибудь сталкивался с данной проблемой... Ситуация...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Новые блоги и статьи
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами
8Observer8 20.02.2026
Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .
Конвертировать закладки radiotray-ng в m3u-плейлист
damix 19.02.2026
Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .
Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI
Eddy_Em 18.02.2026
Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .
Камера Toupcam IUA500KMA
Eddy_Em 12.02.2026
Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу
zbw 12.02.2026
И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.
«Знание-Сила»
zbw 12.02.2026
«Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров
8Observer8 12.02.2026
Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image)
8Observer8 11.02.2026
Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2026, CyberForum.ru