Ограничение доступа к компьютеру из сети

@Maks · Регистрация: 13.03.2013

Author24 — интернет-сервис помощи студентам

Приветствую, уважаемые коллеги и участники форума.

Решил таки запостить такую тему, как ограничение доступа к компьютеру из сети, я таким образом «закручиваю» компьютеры на администрируемых мною объектах. Что это дает?
В корпоративной сети это дает ряд преимуществ в повышении эффективности защиты сети от несанкционированного доступа, предупреждает распространение вирусов и прочих сетевых угроз, для дома это защищает Ваш ПК, например, при совместном использовании WiFi с соседом, при компроментации пароля от Вашего домашнего WiFi и подключении к нему других ПК/устройств, или при попытке несанкционированного доступа находясь с "кулхацкером" в одной подсети провайдера.
Данная мера, на мой взгляд, крайне необходима для любого компьютера.
В данной статье будет представлен комплексный метод ограничения при помощи встроенного инструментария операционных систем семейства Windows.

Итак, ближе к сути.

Центр управления сетями и общим доступом.

Первым делом заходим "Пуск=>Панель управления=>Центр управления сетями и общим доступом=>Изменить дополнительные параметры общего доступа"

Изменяем (сверяем) настройки, как показано на скриншоте ниже

Там же в "Центре управления сетями и общим доступом" заходим в "Изменение параметров адаптера" выбираем активный адаптер (который служит для подключения к сети/интернету), нажимаем "Свойства" и снимаем галочку на "Служба доступа к файлам и принтерам Microsoft" и нажимаем "Ok".

Если Ваш ПК не работает в корпоративной сети и Вы не подключаетесь к принтерам и папкам, расшаренных на других ПК в локальной сети и/или к NAS-хранилищу, то можно смело отключить и "Клиент для сетей Microsoft"

Локальная политика безопасности.

Запускаем оснастку локальной политики безопасности «Win+R=>secpol.msc=>Enter», и сразу же переходим в «Параметры безопасности=>Локальные политики=>Назначение прав пользователя».
Находим там два пункта и применяем к ним следующие действия:
1. Доступ к компьютеру из сети – удаляем всех имеющихся там пользователей и групп;
2. Отказать в доступе к этому компьютеру из сети – добавляем «Все».

Внимание: данный способ неприменим к версиям "Windows Home/Basic", т.к. в них доступ к данной оснастке закрыт.
На этом этапе всё.

Брандмауэр.

Запускаем Службы: «Win+R=>services.msc=>Enter», находим службу Брандмауэра и убеждаемся, что она запущена, если отключена – запускаем.
Для большей отказоустойчивости, раз уж мы здесь, в свойствах службы на вкладке «Восстановление» выставляем перезапуск служб во всех 3(трех) случаях, а интервал перезапуска ставим на 0(ноль).

Теперь запускаем сам брандмауэр «Win+R=>wf.msc=>Enter»
В открывшемся окне переходим в «Свойства» и устанавливаем блокировку для всех профилей

После чего должно получиться следующее

Удаляем в правилах входящих подключений все.

КАК СОЗДАТЬ ПРАВИЛО В БРАНДМАУЭРЕ

Создаем правило в брандмауэре, в данном случае, открываем порты для исходящих соединений:

Если требуется создать правило для ip-адреса, то на втором этапе выбираем тип правила "Настраиваемые":

Если необходимо сделать так, чтобы компьютер пинговался из локальной сети, то создаем правило для протокола ICMP, если нет, то оставляем пустым.
Лично я на рабочих машинах оставляю ICMP и открываю порт TCP 4899 для Radmin'а, а на домашнем ПК вообще не использую никаких правил для входящих подключений, т.е. оставляю это поле пустым.

В правилах исходящих подключений создайте настраиваемые правила следующих назначений:
Правило для портов UDP 53, 67, 68, 123 где:
Порт 53 – DNS;
Порты 67 и 68 – DHCP (если используется статический ip-адрес, то можно не открывать);
123 – NTP (используется для синхронизации времени).

Правило для портов TCP 80, 443, где:
Порт 80 – HTTP;
Порт 443 – HTTPS.
Без этих портов интернет через браузеры работать не будет.

Настраиваемое правило, в котором необходимо указать ip-адрес роутера

Остальные правила для исходящих соединений, например, открытие портов на игровые сервера, создаются по мере необходимости.
Для дома я открываю порты HTTP/HTTPS, NTP, DNS и ip-адрес роутера, в принципе, этого более чем достаточно.

Список портов TCP/UDP

Важно: необходимо в обязательном порядке отслеживать настройки брандмауэра не предмет лишних правил при установке программ, плагинов, драйверов и прочего софта!

Прочие настройки.

Теперь нужно, как говорится, "затянуть гайки".

Идем в "Свойства системы=>Настройка удаленного доступа", снимаем галку на "Разрешить подключение удаленного помощника к этому компьютеру" и попутно проверяем, чтобы был выбран пункт "Не разрешать подключаться к этому компьютеру".

Потом шагаем в "Управление компьютером=>Локальные пользователи и группы=>Пользователи"
На всякий случай, отключаем неактивных пользователей, в частности учетную запись "Гость".
На действующую учетную запись, под которой Вы работаете в системе, установите надежный пароль.

Внимание: данный способ неприменим к версиям "Windows Home/Basic", т.к. в них доступ к данным функциям закрыт.

Снова запускаем Службы: «Win+R=>services.msc=>Enter»
Останавливаем и отключаем следующие службы:
- Обнаружение SSDP;
- Общий доступ к подключению к Интернету (ICS);
- Поставщик домашней группы;
- Публикация ресурсов обнаружения функций;
- Рабочая станция;
- Сервер.

Чтобы не останавливать и не отключать службы руками, можно воспользоваться этим скриптом

Windows Batch file

@echo off
::Остановка и отключение служб
::Обнаружение SSDP
echo net stop SSDPSRV
echo sc config SSDPSRV start= disabled
::Общий доступ к подключению к Интернету (ICS)
echo net stop SharedAccess
echo sc config SharedAccess start= disabled
::Поставщик домашней группы
echo net stop HomeGroupProvider
echo sc config HomeGroupProvider start= disabled
::Публикация ресурсов обнаружения функций
echo net stop FDResPub
echo sc config FDResPub start= disabled
::Рабочая станция
echo net stop LanmanWorkstation
echo sc config LanmanWorkstation start= disabled
::Сервер
echo net stop LanmanServer
echo sc config LanmanServer start= disabled
::Завершение работы интерпретатора
Exit /b

Вот так, при помощи несложных манипуляций, а главное, не прибегая к использованию сторонних программ, можно эффективно ограничить доступ к своему компьютеру из сети.

Примечание: опубликованный в данной статье метод защиты применим к операционным системам Windows 7/8/8.1/10.

@vl55 · 18.09.2020, 15:43

При отключении службы Рабочая станция не будет работать "создание образа системы" в разделе "резервное копирование" средствами ОС. Если не пользуетесь-можно отключать.

@Worldpunk · 20.10.2021, 18:16

Это все замечательно, только мне удаляют брендмауер сам и на этом тапочки.
А так все грамотно сказано.

@дед99 · 17.01.2022, 22:00

Сообщение от Maks

После чего должно получиться следующее

У меня почему то после этого в Брандмауэре,
в Профиле домена
О Исходящие подлючения не соотв. ни одному правилу, разрешены

и то же
в Частный профиль
О Исходящие подлючения не соотв. ни одному правилу, разрешены

как это устранить?

@Maks · 18.01.2022, 06:41 **[ТС]**

Сообщение от дед99

как это устранить?

Еще раз все перепроверить.

Сообщение от Maks

В открывшемся окне переходим в «Свойства» и устанавливаем блокировку для всех профилей

Т.е. те же самые настройки следует выполнить для <Частного профиля> и <Профиля домена>

Вот так

@дед99 · 18.01.2022, 20:48

Макс спасибо за подсказку,

Сообщение от Maks

Удаляем в правилах входящих подключений все.
КАК СОЗДАТЬ ПРАВИЛО В БРАНДМАУЭРЕ

У свежеустановленной винды уже много исходящих правил стоит (не нужные проги из магазина windows 8.1 и др.) - Удалять их все?
Будет ли потом авто обноления и драйверов работать?
У вас на скринах создания исходящих правил видно все пусто.

@дед99 · 18.01.2022, 20:57

а у меня такой вид

@Maks · 19.01.2022, 06:44 **[ТС]**

Сообщение от дед99

У свежеустановленной винды уже много исходящих правил стоит (не нужные проги из магазина windows 8.1 и др.) - Удалять их все?

См.выше:

Сообщение от Maks

Удаляем в правилах входящих подключений все.

Это никак не влияет на драйверы, работу интернета и т.п.

Сообщение от дед99

У вас на скринах создания исходящих правил видно все пусто.

Это скрин входящих правил, его вообще можно оставить пустым и это никак не повлияет на работу системы.
Для исходящих правил открываем то, что указано выше, для обновления драйверов достаточно открыть порты 80 и 443.

@дед99 · 19.01.2022, 12:48

Maks, спасибо, извините за дотошность, с входящими все понятно. Вопрос только по исходящим:
У вас на скрине https://www.cyberforum.ru/atta... 1591931363 видно что создается правило в исходящих и там все поле пустое.
Правильно вас понял:
Перед тем как создавать исходящие правила для портов 80,443 надо очистить в исходящих все правила, что там сейчас уже созданы с момента установки винды ( как включенные так и отключенны, см. мой скрин выше) ???

@Maks · 19.01.2022, 13:27 **[ТС]**

Сообщение от дед99

Перед тем как создавать исходящие правила для портов 80,443 надо очистить в исходящих все правила, что там сейчас уже созданы с момента установки винды ( как включенные так и отключенны, см. мой скрин выше) ???

Абсолютно верно. Но, помимо правил для портов 80 и 443, нужно обязательно создать еще правила:

Сообщение от Maks

В правилах исходящих подключений создайте настраиваемые правила следующих назначений:
Правило для портов UDP 53, 67, 68,
123 где:
Порт 53 – DNS;
Порты 67 и 68 – DHCP (если используется статический ip-адрес, то можно не открывать);
123 – NTP (используется для синхронизации времени).

и

Сообщение от Maks

Настраиваемое правило, в котором необходимо указать ip-адрес роутера

@Apostol99 · 16.04.2023, 12:54

Здравствуйте. Сделал все по инструкции. Интернет вообще пропал. Винда 11

@Maks · 17.04.2023, 05:47 **[ТС]**

Сообщение от Apostol99

Сделал все по инструкции. Интернет вообще пропал

Значит не открыты исходящие порты 80 и 443, а также ip-адрес роутера.

@Apostol99 · 17.04.2023, 14:08

Сообщение от Maks

Значит не открыты исходящие порты 80 и 443, а также ip-адрес роутера.

как их тогда открыть?

@Maks · 17.04.2023, 15:03 **[ТС]**

Сообщение от Apostol99

как их тогда открыть?

Читайте заглавный пост, там все написано и даже показано.
Единственное, ip-адрес роутера у Вас может отличаться.

@Apostol99 · 17.04.2023, 23:26

Все настроил. Все работает. Но после этого не качает qbtorent. Добавлял его в исключения. Не помогло. Полностью удалял его и ставил заново. Не работает. Вернул настройки брандмауэра по умолчанию. Торрент начал качать. Как настроить брандмауэр для этого торрент клиента? Снова хочу по новой все проделать. Нужно как то настроить клиент и брандмауэр для него.

Добавлено через 2 часа 8 минут
Если открывать порт для торрента, то его так же в исходящих нужно открывать?

@Maks · 18.04.2023, 05:48 **[ТС]**

Apostol99, первое что приходит на ум, отключите брандмауэр, запустите qbtorent, скачайте и запустите tcpviewer и посмотрите какие порты и протоколы он использует. Далее, исходя из полученной информации, открываете требуемые порты в брандмауэре.

Добавлено через 5 минут
не исключено, что для торрент-клиента необходимо будет открыть входящие порты.

@vvm28 · 19.06.2023, 18:59

Сообщение от Maks

Значит не открыты исходящие порты 80 и 443, а также ip-адрес роутера.

Их нужно будет открыть для определенного браузера? То есть указывать для какого?
Браузеры при установке вроде добавляю свои правила?

@Maks · 20.06.2023, 08:50 **[ТС]**

Сообщение от vvm28

Их нужно будет открыть для определенного браузера? То есть указывать для какого?

Их нужно открыть в системе, чтобы работали все браузеры, торрент-клиенты, обновления антивируса и т.п.

Сообщение от vvm28

Браузеры при установке вроде добавляю свои правила?

Лишние правила удаляем после каждой установки софта.

Добавлено через 1 минуту
Можно запилить батник с определенными правилами и закинуть его в планировщик, тогда эталонные правила, которые заданы изначально будут регулярно актуализироваться, удаляя лишнее.

@Meeneci · 25.06.2023, 22:25

Интересная статья

@Alexandermail · 30.09.2023, 22:11

Можно ли как то все правила входяшие разом удалить а не по одному?

@Maks · 03.10.2023, 07:39 **[ТС]**

Сообщение от Alexandermail

Можно ли как то все правила входяшие разом удалить а не по одному?

Можно: выделите все правила (Ctrl+A) и удалите (Shift+Del или Del).

@Maks Модератор 8707 / 4417 / 555 Регистрация: 13.03.2013 Сообщений: 16,148 Записей в блоге: 16
	19.01.2022, 13:27 [ТС]	29
	Сообщение от дед99 Перед тем как создавать исходящие правила для портов 80,443 надо очистить в исходящих все правила, что там сейчас уже созданы с момента установки винды ( как включенные так и отключенны, см. мой скрин выше) ??? Абсолютно верно. Но, помимо правил для портов 80 и 443, нужно обязательно создать еще правила: Сообщение от Maks В правилах исходящих подключений создайте настраиваемые правила следующих назначений: Правило для портов UDP 53, 67, 68, 123 где: Порт 53 – DNS; Порты 67 и 68 – DHCP (если используется статический ip-адрес, то можно не открывать); 123 – NTP (используется для синхронизации времени). и Сообщение от Maks Настраиваемое правило, в котором необходимо указать ip-адрес роутера 1

@Apostol99 0 / 0 / 0 Регистрация: 15.04.2023 Сообщений: 4
	17.04.2023, 14:08	32
	Сообщение от Maks Значит не открыты исходящие порты 80 и 443, а также ip-адрес роутера. как их тогда открыть? 0

@Maks Модератор 8707 / 4417 / 555 Регистрация: 13.03.2013 Сообщений: 16,148 Записей в блоге: 16
	17.04.2023, 15:03 [ТС]	33
	Сообщение от Apostol99 как их тогда открыть? Читайте заглавный пост, там все написано и даже показано. Единственное, ip-адрес роутера у Вас может отличаться. 0

@Apostol99 0 / 0 / 0 Регистрация: 15.04.2023 Сообщений: 4
	17.04.2023, 23:26	34
	Все настроил. Все работает. Но после этого не качает qbtorent. Добавлял его в исключения. Не помогло. Полностью удалял его и ставил заново. Не работает. Вернул настройки брандмауэра по умолчанию. Торрент начал качать. Как настроить брандмауэр для этого торрент клиента? Снова хочу по новой все проделать. Нужно как то настроить клиент и брандмауэр для него. Добавлено через 2 часа 8 минут Если открывать порт для торрента, то его так же в исходящих нужно открывать? 0

@Maks Модератор 8707 / 4417 / 555 Регистрация: 13.03.2013 Сообщений: 16,148 Записей в блоге: 16
	18.04.2023, 05:48 [ТС]	35
	Apostol99, первое что приходит на ум, отключите брандмауэр, запустите qbtorent, скачайте и запустите tcpviewer и посмотрите какие порты и протоколы он использует. Далее, исходя из полученной информации, открываете требуемые порты в брандмауэре. Добавлено через 5 минут не исключено, что для торрент-клиента необходимо будет открыть входящие порты. 0

@vl55 6 / 5 / 1 Регистрация: 15.04.2017 Сообщений: 27
	18.09.2020, 15:43	21
	При отключении службы Рабочая станция не будет работать "создание образа системы" в разделе "резервное копирование" средствами ОС. Если не пользуетесь-можно отключать. 1

@Worldpunk -15 / 2 / 0 Регистрация: 26.10.2019 Сообщений: 102 Записей в блоге: 2
	20.10.2021, 18:16	22
	Это все замечательно, только мне удаляют брендмауер сам и на этом тапочки. А так все грамотно сказано. 0

@дед99 0 / 0 / 0 Регистрация: 16.01.2022 Сообщений: 15
	17.01.2022, 22:00	23
	Сообщение от Maks После чего должно получиться следующее У меня почему то после этого в Брандмауэре, в Профиле домена О Исходящие подлючения не соотв. ни одному правилу, разрешены и то же в Частный профиль О Исходящие подлючения не соотв. ни одному правилу, разрешены как это устранить? 0

@Maks Модератор 8707 / 4417 / 555 Регистрация: 13.03.2013 Сообщений: 16,148 Записей в блоге: 16
	18.01.2022, 06:41 [ТС]	24
	Сообщение от дед99 как это устранить? Еще раз все перепроверить. Сообщение от Maks В открывшемся окне переходим в «Свойства» и устанавливаем блокировку для всех профилей Т.е. те же самые настройки следует выполнить для <Частного профиля> и <Профиля домена> Вот так 1

@дед99 0 / 0 / 0 Регистрация: 16.01.2022 Сообщений: 15
	18.01.2022, 20:48	25
	Макс спасибо за подсказку, Сообщение от Maks Удаляем в правилах входящих подключений все. КАК СОЗДАТЬ ПРАВИЛО В БРАНДМАУЭРЕ У свежеустановленной винды уже много исходящих правил стоит (не нужные проги из магазина windows 8.1 и др.) - Удалять их все? Будет ли потом авто обноления и драйверов работать? У вас на скринах создания исходящих правил видно все пусто. Миниатюры 0

@дед99 0 / 0 / 0 Регистрация: 16.01.2022 Сообщений: 15
	18.01.2022, 20:57	26
	а у меня такой вид 0

@Maks Модератор 8707 / 4417 / 555 Регистрация: 13.03.2013 Сообщений: 16,148 Записей в блоге: 16
	19.01.2022, 06:44 [ТС]	27
	Сообщение от дед99 У свежеустановленной винды уже много исходящих правил стоит (не нужные проги из магазина windows 8.1 и др.) - Удалять их все? См.выше: Сообщение от Maks Удаляем в правилах входящих подключений все. Это никак не влияет на драйверы, работу интернета и т.п. Сообщение от дед99 У вас на скринах создания исходящих правил видно все пусто. Это скрин входящих правил, его вообще можно оставить пустым и это никак не повлияет на работу системы. Для исходящих правил открываем то, что указано выше, для обновления драйверов достаточно открыть порты 80 и 443. 1

@дед99 0 / 0 / 0 Регистрация: 16.01.2022 Сообщений: 15
	19.01.2022, 12:48	28
	Maks, спасибо, извините за дотошность, с входящими все понятно. Вопрос только по исходящим: У вас на скрине https://www.cyberforum.ru/atta... 1591931363 видно что создается правило в исходящих и там все поле пустое. Правильно вас понял: Перед тем как создавать исходящие правила для портов 80,443 надо очистить в исходящих все правила, что там сейчас уже созданы с момента установки винды ( как включенные так и отключенны, см. мой скрин выше) ??? 0

@Apostol99 0 / 0 / 0 Регистрация: 15.04.2023 Сообщений: 4
	16.04.2023, 12:54	30
	Здравствуйте. Сделал все по инструкции. Интернет вообще пропал. Винда 11 0

@Maks Модератор 8707 / 4417 / 555 Регистрация: 13.03.2013 Сообщений: 16,148 Записей в блоге: 16
	17.04.2023, 05:47 [ТС]	31
	Сообщение от Apostol99 Сделал все по инструкции. Интернет вообще пропал Значит не открыты исходящие порты 80 и 443, а также ip-адрес роутера. 0

@Meeneci 0 / 0 / 0 Регистрация: 25.06.2023 Сообщений: 1
	25.06.2023, 22:25	38
	Интересная статья 0

	03.10.2023, 07:39

@vvm28 768 / 500 / 66 Регистрация: 22.12.2013 Сообщений: 2,438 Записей в блоге: 19
	19.06.2023, 18:59	36
	Сообщение от Maks Значит не открыты исходящие порты 80 и 443, а также ip-адрес роутера. Их нужно будет открыть для определенного браузера? То есть указывать для какого? Браузеры при установке вроде добавляю свои правила? 0

@Maks Модератор 8707 / 4417 / 555 Регистрация: 13.03.2013 Сообщений: 16,148 Записей в блоге: 16
	20.06.2023, 08:50 [ТС]	37
	Сообщение от vvm28 Их нужно будет открыть для определенного браузера? То есть указывать для какого? Их нужно открыть в системе, чтобы работали все браузеры, торрент-клиенты, обновления антивируса и т.п. Сообщение от vvm28 Браузеры при установке вроде добавляю свои правила? Лишние правила удаляем после каждой установки софта. Добавлено через 1 минуту Можно запилить батник с определенными правилами и закинуть его в планировщик, тогда эталонные правила, которые заданы изначально будут регулярно актуализироваться, удаляя лишнее. 1

@Alexandermail 0 / 0 / 0 Регистрация: 30.09.2023 Сообщений: 2
	30.09.2023, 22:11	39
	Можно ли как то все правила входяшие разом удалить а не по одному? 0

@Maks Модератор 8707 / 4417 / 555 Регистрация: 13.03.2013 Сообщений: 16,148 Записей в блоге: 16
	03.10.2023, 07:39 [ТС]	40
	Сообщение от Alexandermail Можно ли как то все правила входяшие разом удалить а не по одному? Можно: выделите все правила (Ctrl+A) и удалите (Shift+Del или Del). 0

Новые блоги и статьи
Создание макробота, как способа экономии времени и варианта ИИ. Hrethgir 28.01.2025 Чисто теоретически, создание ИИ на ПК можно разделить на части. Создать бота отвечающего за железо (эмулирование вкл, выкл, мышь, клавиатура), другой бот осуществляет распознавание изображений,. . .	[Golang] 121. Best Time to Buy and Sell Stock alhaos 28.01.2025 В этой задаче мы получаем слайс целых чисел, которые означают цену акции в разные моменты времени, и должны вернуть максимально возможную прибыль от купли продажи акции. / / . . .	Проектирование и моделирование hw_wired 28.01.2025 Введение в моделирование Моделирование представляет собой один из фундаментальных методов научного познания, который позволяет изучать объекты и явления через создание их упрощенных аналогов. В. . .	Алгоритмы и исполнители hw_wired 28.01.2025 Введение в алгоритмы В современном мире информационных технологий алгоритмы играют основополагающую роль в решении различных задач и автоматизации процессов. Алгоритм представляет собой точную. . .	Хранение информации hw_wired 28.01.2025 Введение: Роль систем хранения информации в современном мире В современную эпоху цифровых технологий эффективное хранение информации становится одним из ключевых факторов успешного развития любой. . .	Обработка числовой информации hw_wired 28.01.2025 Введение в обработку числовой информации В современном мире обработка числовой информации стала неотъемлемой частью как профессиональной деятельности, так и повседневной жизни. Электронные таблицы. . .
Мультимедиа hw_wired 28.01.2025 Введение в мультимедийные технологии В современном мире мультимедийные технологии стали неотъемлемой частью нашей жизни, проникнув во все сферы человеческой деятельности. Термин "мультимедиа". . .	Обработка текстовой информации hw_wired 28.01.2025 Введение в обработку текстовой информации В современном мире обработка текстовой информации играет фундаментальную роль в различных сферах человеческой деятельности. Текстовые редакторы стали. . .	Обработка графической информации hw_wired 28.01.2025 Введение в компьютерную графику Компьютерная графика стала неотъемлемой частью современного цифрового мира, пройдя впечатляющий путь развития от простейших черно-белых изображений до сложных. . .	Python в Алгоритмике: Решение задач hw_wired 28.01.2025 Введение в Python и Алгоритмику В современном мире программирование стало неотъемлемой частью образования и профессионального развития. Python зарекомендовал себя как один из самых популярных и. . .	Компьютер как универсальное устройство для работы с информацией hw_wired 28.01.2025 Введение в устройство компьютера Компьютер представляет собой универсальное электронное устройство, предназначенное для автоматической обработки информации. В современном мире компьютер стал. . .	Информация и информационные процессы hw_wired 28.01.2025 Понятие информации и ее виды В современном мире информация является одним из фундаментальных понятий, пронизывающих все сферы человеческой деятельности. Под информацией понимают любые сведения об. . .