Rozwiązany Zapora Windows - jak całkiem zablokować komputer - Wersja do druku +- Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • (https://windows7forum.pl) +-- Dział: Pomoc i wsparcie, Windows 7 (/pomoc-i-wsparcie-windows-7-26-f) +--- Dział: Sieci komputerowe (/sieci-komputerowe-16-f) +--- Wątek: Rozwiązany Zapora Windows - jak całkiem zablokować komputer (/zapora-windows-jak-calkiem-zablokowac-komputer-17362-t) |
Zapora Windows - jak całkiem zablokować komputer - tarko - 16.07.2011 09:25 Chcę utworzyć całkowita blokadę na moim komputerze dotyczaca jednego konkretnego komputera w sieci. W tym celu nadalem temu drugiemu komputerowi staly adres IP i ustawilem jego adres jako punkt koncowy numer 1. Jako punkt koncowy numer 2 pozostawilem "Dowolny adres IP" bo nie bardzo wiem co to oznacza. Utworzylem nowa regule zabezpieczen w zaporze Windows. W zakladce "Protokoly i porty" jest rozwijalne pole gdzie mozna podac jakich protokolow ma dotyczyc regula - w moim przypadku chce zabezpieczyc wszystkie protokoly. Ale jak wybieram pierwsza opcje, "Dowolny" to wtedy po zapisaniu reguly wybiera mi sie automatycznie protokol HOPOPT. Czyli to chyba tak nie dziala. Drugie podejscie - moze trzeba utworzyc tyle regul ile jest protokolow. Zaczne od ICMP bo to najlatwiej sprawdzic. Ustawiam dwie reguly: jedna na ICMPv4 druga na ICMPv6 i puszczam pinga na blokowany komputer, ping dziala. Czyli blokada nie dziala. W takim razie: 1. jak ustawic blokade na ICMP (tak, zeby ping nie dzialal)? 2. czy aby zablokowac wszystkie protokoly, trzeba ustanawiac po 1 regule na kazdy czy mozna jakos krocej? 3. czy jest w Windowsie metoda sprawdzenia czy blokada dla danego protokolu dziala, czyli czy mozna puscic testowo pakiet danym protokolem - jak? RE: Zapora Windows - jak całkiem zablokować komputer - thermalfake - 16.07.2011 16:24 Reguły przychodzące -> Nowa reguła -> Reguła Niestandardowa Usługi - >Dostosuj -> Zastosuj do wszystkich programów i usług Typ protokołu -> Dowolny Których lokalnych adresów dotyczy reguła -> Wpisujesz adres IP kompa (chodzi tylko o adresy sieci w LAN) Których zdalnych adresów dotyczy reguła -> Zostawiasz puste bo chodzi o adresy spoza puli Twojej sieci czyli WAN Zablokuj połączenie Zastosowanie reguły Prywatny/Publiczny RE: Zapora Windows - jak całkiem zablokować komputer - tarko - 16.07.2011 19:33 Właśnie dokładnie tak zrobiłem. I oprócz tego tak samo regułę przychodzaca. Po zaakceptowaniu nowej reguły utworzonej tym sposobem, pojawia się ona na liście reguł i ma w kolumnie "Protokół" napisane HOPOPT. Nie wiem czy to dlatego że jest on pierwszy a reszta się nie mieści, czy jakimś sposobem opcja "Dowolny" zmienia się w HOPOPT. Poza tym jak juz mam tę regułę, to puszczenie pinga pod zablokowany adres jest mozliwe, tzn dostaję od niego normalna odpowiedź, a powinno byc zablokowane, bo ping uzywa ICMP a więc jest to jeden z "Dowolnych" protokołów. Czyli blokada nie działa. RE: Zapora Windows - jak całkiem zablokować komputer - thermalfake - 16.07.2011 21:06 Też to sprawdziłem i jestem zawiedziony. Specem od bezpieczeństwa nie jestem. RE: Zapora Windows - jak całkiem zablokować komputer - tarko - 19.07.2011 08:20 Czy może w takim razie ktoś wie jak to zrobić? RE: Zapora Windows - jak całkiem zablokować komputer - dhapollo - 19.07.2011 10:45 Witam. Pytanie czy komputer ma niemieć dostępu do sieci? Odłącz kabelek sieciowy, wyłącz kartę sieciową. Czy może jednak jakieś usługi mają przechodzić? np. aktualizacje, sieć lokalna, komunikator, a może tylko www? Określ dokładniej mi co ma być zablokowane a co nie. Blokujemy CAŁY ruch sieciowy na kompie: 1. Otwieramy ustawienia zapory windows 1.1 Reguły przychodzące -> Nowa reguła -> Port 1.2 TCP > Wszystkie porty lokalne 1.3 Zablokuj połączenie 1.4 Zaznaczasz wszystkie profile sieciowe 1.5 Dajesz opis blokady Powyższe punkty wykonaj dodatkowo dla protokołu UDP i połączeń wychodzących (TCP, i UDP) Jeśli chcemy zezwolić tylko na pocztę to blokujemy porty 0-24, 26-109, 111-65535 Jeśli chcemy dodać możliwość przeglądania tylko stron www 0-52, 54-79, 81-65535 (nie otwiera https czyli np.: logowania do mbanku) Działa poczta, www (z https) 0-24, 26-52, 54-79, 81-109, 111-65535 Mam nadzieje, że dobrze Cię zrozumiałem? RE: Zapora Windows - jak całkiem zablokować komputer - tarko - 19.07.2011 11:05 Na moim komputerze chcę się odgrodzić od drugiego komputera o określonym numerze IP, całkowicie, w takiej typowej lokalnej sieci windowsowej. Żebyśmy nie mogli się nawzajem pingać, żeby nie było możliwości, że jakiś program tam zainstalowany będzie miał dostęp do moich portów na komputerze. Inne komputery mogą mieć dostęp. Technicznie to się chyba nazywa blokada protokołów. Nie mam wpływu na to, czy tamten komputer ma kabelek sieciowy czy nie, bo to nie jest mój komputer. Ale na pewno ma i mieć będzie. Ja też oczywiście chcę mieć dostęp do internetu. Wydaje mi się, że Zapora Windows służy właśnie dokładnie do tego celu (jeśli nie, to do jakiego?). Tylko nie wiem jak to zrobić, napisałem co zrobiłem i że nie zadziałało. A tego co zrozumiałem powyżej, u innych też niekoniecznie działa. RE: Zapora Windows - jak całkiem zablokować komputer - dhapollo - 19.07.2011 11:59 To się nie zrozumieliśmy, musimy poczekać do weekendu, wtedy na spokojnie po testuję. Niestety na szybko nic nie wychodzi RE: Zapora Windows - jak całkiem zablokować komputer - tarko - 19.07.2011 12:23 Będę wdzięczny. W razie czego w przyszłym tygodniu jeszcze raz zapytam. RE: Zapora Windows - jak całkiem zablokować komputer - dhapollo - 20.07.2011 23:33 Witam ponownie. Rozpoczynam testy. Obecnie na laptopie mam Windows 7 na którym ma udostępnione udziały, komputer ma tylko zaporę systemową. W sieci jest widoczny mogę wejść do udostępnionego udziału i pingować maszynę z sieci. Test 1. Wyłączyłem wszystkie reguły przychodzące. Efektem jest brak możliwości pingowania maszyny oraz dostania się do niej z sieci. Test 2. Usunięcie wszystkich reguł przychodzących daje efekt taki sam jak Test 1. Test 3. Cel: Zablokowanie pingów z konkretnego IP Potrzebne dwie maszyny do których mamy dostęp. (3 maszyny korzystają tylko z TCP/IP v4 protokół w v6 jest wyłączony) Na maszynie która zabezpieczamy, nic nie usuwamy z połączeń przychodzących. Reguły zabezpieczeń połączeń > Nowa reguła > niestandardowa > w punkcie końcowym 1 dodajemy IP do zablokowania > Wymagaj uwierzytelnienia połączeń przychodzących i wychodzących > Komputer (Kerberos V5) > typ portu ustawiamy na ICMPv4 > zaznaczamy wszystkie profile > podajemy nazwę np. Ping Jeśli używasz protokołu TCP/IP v6 dodaj kolejny wpis jak wyżej tylko zmień typ porty na ICMPv6 Jeśli zaznaczysz typ portu na DOWOLNY to niestety nie działa zabezpieczenie Test 4. Cel: Jedna reguła blokuje cały ruch z danego IP Reguły zabezpieczeń połączeń > Nowa reguła > izolacja > wymagaj uwierzytelnienia połączeń przychodzących i wychodzących > Komputer (Kerberos v5) > zaznaczamy wszystkie profile > Dajemy nazwę np. blokada W tym monecie mam odcięty komp od całej sieci lokalnej (nie widać nas, nie odpowiadamy na pingi). W celu "ukrycia" się przed konkretnym IP klikamy dwukrotnie na naszym wpisie przechodzimy do zakładki komputery i w polu punkt końcowy 1 dodajemy adres jaki chcemy zablokować i zapisujemy zmiany. Test przeprowadziłem na 3 maszynach pracujących w domenie wynik pozytywny w 100%: Windows 7 > windows XP Windows 7 > Linux Jestem ciekawy czy u innych również zadziała. Jeśli ktoś znalazł inny sposób to jestem bardzo ciekawy jaki Osobiście uważam iż problem został rozwiązany. RE: Zapora Windows - jak całkiem zablokować komputer - tarko - 21.07.2011 17:30 Przetestowałem toczka w toczkę u siebie i muszę powiedzieć, że jest sukces. Test 4 zadziałał od razu, a Test 3 też zadziałał, chociaż w zasadzie nic nie zmieniłem (utworzyłem tylko blokadę połączeń(Test 4) a potem ją wyłączyłem, żeby przetestować blokadę zapory i o dziwo po tych zabiegach zadziałała), a poprzednio na pewno nie działał. No ale ta druga metoda jest i tak wygodniejsza bo załatwia wszystko za jednym razem. Ale czytam dokumentację do zapory i tam jest napisane: "Zapora systemu Windows z zabezpieczeniami zaawansowanymi zawiera zaporę hosta i zabezpieczenia protokołu internetowego (IPsec). " "Aplikacja Zapora systemu Windows z zabezpieczeniami zaawansowanymi jest zaporą stanową, która bada i filtruje wszystkie pakiety dla ruchu protokołu IP w wersji 4 (IPv4) i IP w wersji 6 (IPv6). " A co z pozostałymi protokołami? Czy na komputerze X może być zainstalowane oprogramowanie, które będzie się łączyło z moim komputerem za pomocą innego protokołu niż IP, albo w ogóle bez protokołu tylko bezpośrednio, czy to jest w ogóle możliwe i czy warto się zainteresować tym tematem żeby mieć 100% pewność? We właściwościach karty sieciowej mam takie protokoły włączone, o ile to ma jakieś znaczenie: RE: Zapora Windows - jak całkiem zablokować komputer - dhapollo - 21.07.2011 18:52 Skoro pomogło podziękuj klikając POMÓGŁ Wyłącz protokół TCP/IPv6 a resztę pozostaw tak jak jest. |