Ограничение доступа к компьютеру из сети

@Maks · Регистрация: 13.03.2013

Author24 — интернет-сервис помощи студентам

Приветствую, уважаемые коллеги и участники форума.

Решил таки запостить такую тему, как ограничение доступа к компьютеру из сети, я таким образом «закручиваю» компьютеры на администрируемых мною объектах. Что это дает?
В корпоративной сети это дает ряд преимуществ в повышении эффективности защиты сети от несанкционированного доступа, предупреждает распространение вирусов и прочих сетевых угроз, для дома это защищает Ваш ПК, например, при совместном использовании WiFi с соседом, при компроментации пароля от Вашего домашнего WiFi и подключении к нему других ПК/устройств, или при попытке несанкционированного доступа находясь с "кулхацкером" в одной подсети провайдера.
Данная мера, на мой взгляд, крайне необходима для любого компьютера.
В данной статье будет представлен комплексный метод ограничения при помощи встроенного инструментария операционных систем семейства Windows.

Итак, ближе к сути.

Центр управления сетями и общим доступом.

Первым делом заходим "Пуск=>Панель управления=>Центр управления сетями и общим доступом=>Изменить дополнительные параметры общего доступа"

Изменяем (сверяем) настройки, как показано на скриншоте ниже

Там же в "Центре управления сетями и общим доступом" заходим в "Изменение параметров адаптера" выбираем активный адаптер (который служит для подключения к сети/интернету), нажимаем "Свойства" и снимаем галочку на "Служба доступа к файлам и принтерам Microsoft" и нажимаем "Ok".

Если Ваш ПК не работает в корпоративной сети и Вы не подключаетесь к принтерам и папкам, расшаренных на других ПК в локальной сети и/или к NAS-хранилищу, то можно смело отключить и "Клиент для сетей Microsoft"

Локальная политика безопасности.

Запускаем оснастку локальной политики безопасности «Win+R=>secpol.msc=>Enter», и сразу же переходим в «Параметры безопасности=>Локальные политики=>Назначение прав пользователя».
Находим там два пункта и применяем к ним следующие действия:
1. Доступ к компьютеру из сети – удаляем всех имеющихся там пользователей и групп;
2. Отказать в доступе к этому компьютеру из сети – добавляем «Все».

Внимание: данный способ неприменим к версиям "Windows Home/Basic", т.к. в них доступ к данной оснастке закрыт.
На этом этапе всё.

Брандмауэр.

Запускаем Службы: «Win+R=>services.msc=>Enter», находим службу Брандмауэра и убеждаемся, что она запущена, если отключена – запускаем.
Для большей отказоустойчивости, раз уж мы здесь, в свойствах службы на вкладке «Восстановление» выставляем перезапуск служб во всех 3(трех) случаях, а интервал перезапуска ставим на 0(ноль).

Теперь запускаем сам брандмауэр «Win+R=>wf.msc=>Enter»
В открывшемся окне переходим в «Свойства» и устанавливаем блокировку для всех профилей

После чего должно получиться следующее

Удаляем в правилах входящих подключений все.

КАК СОЗДАТЬ ПРАВИЛО В БРАНДМАУЭРЕ

Создаем правило в брандмауэре, в данном случае, открываем порты для исходящих соединений:

Если требуется создать правило для ip-адреса, то на втором этапе выбираем тип правила "Настраиваемые":

Если необходимо сделать так, чтобы компьютер пинговался из локальной сети, то создаем правило для протокола ICMP, если нет, то оставляем пустым.
Лично я на рабочих машинах оставляю ICMP и открываю порт TCP 4899 для Radmin'а, а на домашнем ПК вообще не использую никаких правил для входящих подключений, т.е. оставляю это поле пустым.

В правилах исходящих подключений создайте настраиваемые правила следующих назначений:
Правило для портов UDP 53, 67, 68, 123 где:
Порт 53 – DNS;
Порты 67 и 68 – DHCP (если используется статический ip-адрес, то можно не открывать);
123 – NTP (используется для синхронизации времени).

Правило для портов TCP 80, 443, где:
Порт 80 – HTTP;
Порт 443 – HTTPS.
Без этих портов интернет через браузеры работать не будет.

Настраиваемое правило, в котором необходимо указать ip-адрес роутера

Остальные правила для исходящих соединений, например, открытие портов на игровые сервера, создаются по мере необходимости.
Для дома я открываю порты HTTP/HTTPS, NTP, DNS и ip-адрес роутера, в принципе, этого более чем достаточно.

Список портов TCP/UDP

Важно: необходимо в обязательном порядке отслеживать настройки брандмауэра не предмет лишних правил при установке программ, плагинов, драйверов и прочего софта!

Прочие настройки.

Теперь нужно, как говорится, "затянуть гайки".

Идем в "Свойства системы=>Настройка удаленного доступа", снимаем галку на "Разрешить подключение удаленного помощника к этому компьютеру" и попутно проверяем, чтобы был выбран пункт "Не разрешать подключаться к этому компьютеру".

Потом шагаем в "Управление компьютером=>Локальные пользователи и группы=>Пользователи"
На всякий случай, отключаем неактивных пользователей, в частности учетную запись "Гость".
На действующую учетную запись, под которой Вы работаете в системе, установите надежный пароль.

Внимание: данный способ неприменим к версиям "Windows Home/Basic", т.к. в них доступ к данным функциям закрыт.

Снова запускаем Службы: «Win+R=>services.msc=>Enter»
Останавливаем и отключаем следующие службы:
- Обнаружение SSDP;
- Общий доступ к подключению к Интернету (ICS);
- Поставщик домашней группы;
- Публикация ресурсов обнаружения функций;
- Рабочая станция;
- Сервер.

Чтобы не останавливать и не отключать службы руками, можно воспользоваться этим скриптом

Windows Batch file    
        
            
                
                
                
                
            
        
    Скопировано
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
@echo off
::Остановка и отключение служб
::Обнаружение SSDP
echo net stop SSDPSRV
echo sc config SSDPSRV start= disabled
::Общий доступ к подключению к Интернету (ICS)
echo net stop SharedAccess
echo sc config SharedAccess start= disabled
::Поставщик домашней группы
echo net stop HomeGroupProvider
echo sc config HomeGroupProvider start= disabled
::Публикация ресурсов обнаружения функций
echo net stop FDResPub
echo sc config FDResPub start= disabled
::Рабочая станция
echo net stop LanmanWorkstation
echo sc config LanmanWorkstation start= disabled
::Сервер
echo net stop LanmanServer
echo sc config LanmanServer start= disabled
::Завершение работы интерпретатора
Exit /b

Вот так, при помощи несложных манипуляций, а главное, не прибегая к использованию сторонних программ, можно эффективно ограничить доступ к своему компьютеру из сети.

Примечание: опубликованный в данной статье метод защиты применим к операционным системам Windows 7/8/8.1/10.

@vl55 · 18.09.2020, 15:43

При отключении службы Рабочая станция не будет работать "создание образа системы" в разделе "резервное копирование" средствами ОС. Если не пользуетесь-можно отключать.

@Worldpunk · 20.10.2021, 18:16

Это все замечательно, только мне удаляют брендмауер сам и на этом тапочки.
А так все грамотно сказано.

@дед99 · 17.01.2022, 22:00

Сообщение от Maks

После чего должно получиться следующее

У меня почему то после этого в Брандмауэре,
в Профиле домена
О Исходящие подлючения не соотв. ни одному правилу, разрешены

и то же
в Частный профиль
О Исходящие подлючения не соотв. ни одному правилу, разрешены

как это устранить?

@Maks · 18.01.2022, 06:41 **[ТС]**

Сообщение от дед99

как это устранить?

Еще раз все перепроверить.

Сообщение от Maks

В открывшемся окне переходим в «Свойства» и устанавливаем блокировку для всех профилей

Т.е. те же самые настройки следует выполнить для <Частного профиля> и <Профиля домена>

Вот так

@дед99 · 18.01.2022, 20:48

Макс спасибо за подсказку,

Сообщение от Maks

Удаляем в правилах входящих подключений все.
КАК СОЗДАТЬ ПРАВИЛО В БРАНДМАУЭРЕ

У свежеустановленной винды уже много исходящих правил стоит (не нужные проги из магазина windows 8.1 и др.) - Удалять их все?
Будет ли потом авто обноления и драйверов работать?
У вас на скринах создания исходящих правил видно все пусто.

@дед99 · 18.01.2022, 20:57

а у меня такой вид

@Maks · 19.01.2022, 06:44 **[ТС]**

Сообщение от дед99

У свежеустановленной винды уже много исходящих правил стоит (не нужные проги из магазина windows 8.1 и др.) - Удалять их все?

См.выше:

Сообщение от Maks

Удаляем в правилах входящих подключений все.

Это никак не влияет на драйверы, работу интернета и т.п.

Сообщение от дед99

У вас на скринах создания исходящих правил видно все пусто.

Это скрин входящих правил, его вообще можно оставить пустым и это никак не повлияет на работу системы.
Для исходящих правил открываем то, что указано выше, для обновления драйверов достаточно открыть порты 80 и 443.

@дед99 · 19.01.2022, 12:48

Maks, спасибо, извините за дотошность, с входящими все понятно. Вопрос только по исходящим:
У вас на скрине https://www.cyberforum.ru/atta... 1591931363 видно что создается правило в исходящих и там все поле пустое.
Правильно вас понял:
Перед тем как создавать исходящие правила для портов 80,443 надо очистить в исходящих все правила, что там сейчас уже созданы с момента установки винды ( как включенные так и отключенны, см. мой скрин выше) ???

@Maks · 19.01.2022, 13:27 **[ТС]**

Сообщение от дед99

Перед тем как создавать исходящие правила для портов 80,443 надо очистить в исходящих все правила, что там сейчас уже созданы с момента установки винды ( как включенные так и отключенны, см. мой скрин выше) ???

Абсолютно верно. Но, помимо правил для портов 80 и 443, нужно обязательно создать еще правила:

Сообщение от Maks

В правилах исходящих подключений создайте настраиваемые правила следующих назначений:
Правило для портов UDP 53, 67, 68,
123 где:
Порт 53 – DNS;
Порты 67 и 68 – DHCP (если используется статический ip-адрес, то можно не открывать);
123 – NTP (используется для синхронизации времени).

и

Сообщение от Maks

Настраиваемое правило, в котором необходимо указать ip-адрес роутера

@Apostol99 · 16.04.2023, 12:54

Здравствуйте. Сделал все по инструкции. Интернет вообще пропал. Винда 11

@Maks · 17.04.2023, 05:47 **[ТС]**

Сообщение от Apostol99

Сделал все по инструкции. Интернет вообще пропал

Значит не открыты исходящие порты 80 и 443, а также ip-адрес роутера.

@Apostol99 · 17.04.2023, 14:08

Сообщение от Maks

Значит не открыты исходящие порты 80 и 443, а также ip-адрес роутера.

как их тогда открыть?

@Maks · 17.04.2023, 15:03 **[ТС]**

Сообщение от Apostol99

как их тогда открыть?

Читайте заглавный пост, там все написано и даже показано.
Единственное, ip-адрес роутера у Вас может отличаться.

@Apostol99 · 17.04.2023, 23:26

Все настроил. Все работает. Но после этого не качает qbtorent. Добавлял его в исключения. Не помогло. Полностью удалял его и ставил заново. Не работает. Вернул настройки брандмауэра по умолчанию. Торрент начал качать. Как настроить брандмауэр для этого торрент клиента? Снова хочу по новой все проделать. Нужно как то настроить клиент и брандмауэр для него.

Добавлено через 2 часа 8 минут
Если открывать порт для торрента, то его так же в исходящих нужно открывать?

@Maks · 18.04.2023, 05:48 **[ТС]**

Apostol99, первое что приходит на ум, отключите брандмауэр, запустите qbtorent, скачайте и запустите tcpviewer и посмотрите какие порты и протоколы он использует. Далее, исходя из полученной информации, открываете требуемые порты в брандмауэре.

Добавлено через 5 минут
не исключено, что для торрент-клиента необходимо будет открыть входящие порты.

@vvm28 · 19.06.2023, 18:59

Сообщение от Maks

Значит не открыты исходящие порты 80 и 443, а также ip-адрес роутера.

Их нужно будет открыть для определенного браузера? То есть указывать для какого?
Браузеры при установке вроде добавляю свои правила?

@Maks · 20.06.2023, 08:50 **[ТС]**

Сообщение от vvm28

Их нужно будет открыть для определенного браузера? То есть указывать для какого?

Их нужно открыть в системе, чтобы работали все браузеры, торрент-клиенты, обновления антивируса и т.п.

Сообщение от vvm28

Браузеры при установке вроде добавляю свои правила?

Лишние правила удаляем после каждой установки софта.

Добавлено через 1 минуту
Можно запилить батник с определенными правилами и закинуть его в планировщик, тогда эталонные правила, которые заданы изначально будут регулярно актуализироваться, удаляя лишнее.

@Meeneci · 25.06.2023, 22:25

Интересная статья

@Alexandermail · 30.09.2023, 22:11

Можно ли как то все правила входяшие разом удалить а не по одному?

@Maks · 03.10.2023, 07:39 **[ТС]**

Сообщение от Alexandermail

Можно ли как то все правила входяшие разом удалить а не по одному?

Можно: выделите все правила (Ctrl+A) и удалите (Shift+Del или Del).

Новые блоги и статьи Все статьи Все блоги /
На любовном киберфронте Alexander-7 01.04.2025 Недавно на одном малоизвестном сайте знакомств мною заинтересовалась девушка: «Текст немного странный. Но, судя по адресу почты, иностранка», – подумал я. Поколебавшись пару суток, я ответил ей:. . .	Как работает Node.js изнутри run.dev 29.03.2025 Node. js изменил подход к разработке веб-приложений, позволив использовать JavaScript не только на стороне клиента, но и на сервере. Созданный в 2009 году Райаном Далем, этот открытый,. . .	Моки в Python: Mock Object Library py-thonny 29.03.2025 Тестирование кода требует особого подхода, когда речь идёт о компонентах, взаимодействующих с внешним миром. Мы часто сталкиваемся с непредсказуемостью HTTP-запросов, чтением данных из базы или. . .	JavaScript: Управление памятью и улучшение производительности run.dev 29.03.2025 В отличие от низкоуровневых языков программирования, JavaScript не требует ручного выделения и освобождения памяти. Здесь работает автоматический сборщик мусора, который определяет, какие объекты. . .	Мультитенантная архитектура со SpringBoot и PostgreSQL ArchitectMsa 29.03.2025 SaaS-приложения редко обслуживают одного клиента и обычно они должны поддерживать множество организаций, каждая из которых работает в своём изолированном пространстве. Мультитенантная архитектура. . .
std::span в C++: Производительность и лучшие практики NullReferenced 28.03.2025 std::span — одно из самых недооценённых нововведений стандарта C++20, которое радикально меняет подход к работе с непрерывными последовательностями данных. По сути, это невладеющее представление. . .	Многопоточность в C#: Threadpool UnmanagedCoder 28.03.2025 Пул потоков в C# — это коллекция заранее созданных и готовых к использованию потоков, которые находятся в распоряжении приложения. Вместо того чтобы создавать и уничтожать потоки для каждой небольшой. . .	Вопросы на собеседованиях по микросервисам ArchitectMsa 27.03.2025 Работодатели ищут не просто разработчиков, знающих базовые концепции, а специалистов, разбирающихся в тонкостях масштабирования, отказоустойчивости и производительности. Сейчас на первый план выходят. . .	Взаимодействие Python с REST API py-thonny 27.03.2025 REST API - это архитектурный стиль взаимодействия компонентов распределённого приложения в сети. Python располагает функциональным набором инструментов для работы с REST API и основная библиотека для. . .	sshd restrictions, ssh access limitations jigi33 26.03.2025 sshd restrictions \| ssh access limitations рестрикции доступа на сервер sshd статья: https:/ / www. golinuxcloud. com/ restrict-allow-ssh-certain-users-groups-rhel подробные расшифровки по. . .

@vl55 7 / 6 / 1 Регистрация: 15.04.2017 Сообщений: 27
	18.09.2020, 15:43
	При отключении службы Рабочая станция не будет работать "создание образа системы" в разделе "резервное копирование" средствами ОС. Если не пользуетесь-можно отключать. 1

@Worldpunk -15 / 2 / 0 Регистрация: 26.10.2019 Сообщений: 102 Записей в блоге: 2
	20.10.2021, 18:16
	Это все замечательно, только мне удаляют брендмауер сам и на этом тапочки. А так все грамотно сказано. 0

@дед99 0 / 0 / 0 Регистрация: 16.01.2022 Сообщений: 15
	17.01.2022, 22:00
	Сообщение от Maks После чего должно получиться следующее У меня почему то после этого в Брандмауэре, в Профиле домена О Исходящие подлючения не соотв. ни одному правилу, разрешены и то же в Частный профиль О Исходящие подлючения не соотв. ни одному правилу, разрешены как это устранить? 0

@Maks Супер-модератор 8794 / 4670 / 569 Регистрация: 13.03.2013 Сообщений: 16,634 Записей в блоге: 16
	18.01.2022, 06:41 [ТС]
	Сообщение от дед99 как это устранить? Еще раз все перепроверить. Сообщение от Maks В открывшемся окне переходим в «Свойства» и устанавливаем блокировку для всех профилей Т.е. те же самые настройки следует выполнить для <Частного профиля> и <Профиля домена> Вот так 1

@дед99 0 / 0 / 0 Регистрация: 16.01.2022 Сообщений: 15
	18.01.2022, 20:48
	Макс спасибо за подсказку, Сообщение от Maks Удаляем в правилах входящих подключений все. КАК СОЗДАТЬ ПРАВИЛО В БРАНДМАУЭРЕ У свежеустановленной винды уже много исходящих правил стоит (не нужные проги из магазина windows 8.1 и др.) - Удалять их все? Будет ли потом авто обноления и драйверов работать? У вас на скринах создания исходящих правил видно все пусто. Миниатюры 0

@дед99 0 / 0 / 0 Регистрация: 16.01.2022 Сообщений: 15
	18.01.2022, 20:57
	а у меня такой вид 0

@Maks Супер-модератор 8794 / 4670 / 569 Регистрация: 13.03.2013 Сообщений: 16,634 Записей в блоге: 16
	19.01.2022, 06:44 [ТС]
	Сообщение от дед99 У свежеустановленной винды уже много исходящих правил стоит (не нужные проги из магазина windows 8.1 и др.) - Удалять их все? См.выше: Сообщение от Maks Удаляем в правилах входящих подключений все. Это никак не влияет на драйверы, работу интернета и т.п. Сообщение от дед99 У вас на скринах создания исходящих правил видно все пусто. Это скрин входящих правил, его вообще можно оставить пустым и это никак не повлияет на работу системы. Для исходящих правил открываем то, что указано выше, для обновления драйверов достаточно открыть порты 80 и 443. 1

@дед99 0 / 0 / 0 Регистрация: 16.01.2022 Сообщений: 15
	19.01.2022, 12:48
	Maks, спасибо, извините за дотошность, с входящими все понятно. Вопрос только по исходящим: У вас на скрине https://www.cyberforum.ru/atta... 1591931363 видно что создается правило в исходящих и там все поле пустое. Правильно вас понял: Перед тем как создавать исходящие правила для портов 80,443 надо очистить в исходящих все правила, что там сейчас уже созданы с момента установки винды ( как включенные так и отключенны, см. мой скрин выше) ??? 0

@Maks Супер-модератор 8794 / 4670 / 569 Регистрация: 13.03.2013 Сообщений: 16,634 Записей в блоге: 16
	19.01.2022, 13:27 [ТС]
	Сообщение от дед99 Перед тем как создавать исходящие правила для портов 80,443 надо очистить в исходящих все правила, что там сейчас уже созданы с момента установки винды ( как включенные так и отключенны, см. мой скрин выше) ??? Абсолютно верно. Но, помимо правил для портов 80 и 443, нужно обязательно создать еще правила: Сообщение от Maks В правилах исходящих подключений создайте настраиваемые правила следующих назначений: Правило для портов UDP 53, 67, 68, 123 где: Порт 53 – DNS; Порты 67 и 68 – DHCP (если используется статический ip-адрес, то можно не открывать); 123 – NTP (используется для синхронизации времени). и Сообщение от Maks Настраиваемое правило, в котором необходимо указать ip-адрес роутера 1

@Apostol99 0 / 0 / 0 Регистрация: 15.04.2023 Сообщений: 4
	16.04.2023, 12:54
	Здравствуйте. Сделал все по инструкции. Интернет вообще пропал. Винда 11 0

@Meeneci 0 / 0 / 0 Регистрация: 25.06.2023 Сообщений: 1
	25.06.2023, 22:25
	Интересная статья 0

@Maks Супер-модератор 8794 / 4670 / 569 Регистрация: 13.03.2013 Сообщений: 16,634 Записей в блоге: 16
	17.04.2023, 05:47 [ТС]
	Сообщение от Apostol99 Сделал все по инструкции. Интернет вообще пропал Значит не открыты исходящие порты 80 и 443, а также ip-адрес роутера. 0

@Apostol99 0 / 0 / 0 Регистрация: 15.04.2023 Сообщений: 4
	17.04.2023, 14:08
	Сообщение от Maks Значит не открыты исходящие порты 80 и 443, а также ip-адрес роутера. как их тогда открыть? 0

@Maks Супер-модератор 8794 / 4670 / 569 Регистрация: 13.03.2013 Сообщений: 16,634 Записей в блоге: 16
	17.04.2023, 15:03 [ТС]
	Сообщение от Apostol99 как их тогда открыть? Читайте заглавный пост, там все написано и даже показано. Единственное, ip-адрес роутера у Вас может отличаться. 0

@Apostol99 0 / 0 / 0 Регистрация: 15.04.2023 Сообщений: 4
	17.04.2023, 23:26
	Все настроил. Все работает. Но после этого не качает qbtorent. Добавлял его в исключения. Не помогло. Полностью удалял его и ставил заново. Не работает. Вернул настройки брандмауэра по умолчанию. Торрент начал качать. Как настроить брандмауэр для этого торрент клиента? Снова хочу по новой все проделать. Нужно как то настроить клиент и брандмауэр для него. Добавлено через 2 часа 8 минут Если открывать порт для торрента, то его так же в исходящих нужно открывать? 0

@Maks Супер-модератор 8794 / 4670 / 569 Регистрация: 13.03.2013 Сообщений: 16,634 Записей в блоге: 16
	18.04.2023, 05:48 [ТС]
	Apostol99, первое что приходит на ум, отключите брандмауэр, запустите qbtorent, скачайте и запустите tcpviewer и посмотрите какие порты и протоколы он использует. Далее, исходя из полученной информации, открываете требуемые порты в брандмауэре. Добавлено через 5 минут не исключено, что для торрент-клиента необходимо будет открыть входящие порты. 0

@vvm28 770 / 516 / 67 Регистрация: 22.12.2013 Сообщений: 2,458 Записей в блоге: 19
	19.06.2023, 18:59
	Сообщение от Maks Значит не открыты исходящие порты 80 и 443, а также ip-адрес роутера. Их нужно будет открыть для определенного браузера? То есть указывать для какого? Браузеры при установке вроде добавляю свои правила? 0

@Maks Супер-модератор 8794 / 4670 / 569 Регистрация: 13.03.2013 Сообщений: 16,634 Записей в блоге: 16
	20.06.2023, 08:50 [ТС]
	Сообщение от vvm28 Их нужно будет открыть для определенного браузера? То есть указывать для какого? Их нужно открыть в системе, чтобы работали все браузеры, торрент-клиенты, обновления антивируса и т.п. Сообщение от vvm28 Браузеры при установке вроде добавляю свои правила? Лишние правила удаляем после каждой установки софта. Добавлено через 1 минуту Можно запилить батник с определенными правилами и закинуть его в планировщик, тогда эталонные правила, которые заданы изначально будут регулярно актуализироваться, удаляя лишнее. 1

@Alexandermail 0 / 0 / 0 Регистрация: 30.09.2023 Сообщений: 2
	30.09.2023, 22:11
	Можно ли как то все правила входяшие разом удалить а не по одному? 0

@Maks Супер-модератор 8794 / 4670 / 569 Регистрация: 13.03.2013 Сообщений: 16,634 Записей в блоге: 16
	03.10.2023, 07:39 [ТС]
	Сообщение от Alexandermail Можно ли как то все правила входяшие разом удалить а не по одному? Можно: выделите все правила (Ctrl+A) и удалите (Shift+Del или Del). 0