Добрый день, помогите разобраться (стараюсь чтобы ни одна программа не вышла в интернет):
Раскладчик клавиатуры Yandex Punto Switcher предложил обновиться я удивился откуда новая версия если стоит пользовательская политика и Яндакса там нет (перепроверил)
Нажал обновись пошла активность процесса svchost (вел себя как торрент клиент) начал слать пакеты на большое кол-во портов
Запустилась программа установщик новой версии (именно новой скачанной 2.5мб)
Вот тут то файервол начал ругаться на нее
Я так понимаю “программа сделала свое черное дело” через svchost доступ которому открыт (запрещать только нужное ему с ума сойти можно)
Подскажите как запретить программам такого рода доступ в интернет?
Сотри все правила о Punto Switcher в “политике безопасности компьютера” и “политике сетевой безопасности”, фаер в "пользовательский режим, и наблюдай. По видимому ты ранее давал добро на оповещение защиты, на выполнение рекурсивных сетевых подключение через svchost.exe.
Punto Switcher не пользуюсь, но что то устанавливал связанное с Яндексом, кажется WinDjvu. Знаком с тем что отказ от установки тулбаров Яндекса и обновлений для таких програм все равно приводит к BITS. Для себя решил проблему созданием сетевой зоны Yandex и запрещающего правила для svhost гулять в эту зону.
Задачи - Задачи файервола - Расширенные настройки - Файервол - Сетевые зоны - Добавить - Новую сетевую зону - Название зоны : “Yandex” - ОК. Левая кнопка мыши на появившейся “Yandex” - Добавить - Новый адрес. Адреса есть на скрине или выясняем, например, на _http://ip-whois.net/.
Задачи - Задачи файервола - Расширенные настройки - Файервол - Правила для приложений
а) если нет правил для svhost - создаем и передвигаем выше “Системные приложения Windows”
б) если есть правила для svhost двойной клик на правилах для svhost
и добавляем правило:
Блокировать IP Исходящее и/или входящее, Адрес отправления - Любой адрес, Адрес назначения : Сетевая зона - Yandex, Детали IP - Любой.
У меня для svchost только 2 разрешающих правила: разрешить UDP Исходящие из МАС Любой в IP 156.154.70.25, где порт источника Любой и порт назначения: 53. Второе такое же - для второго dns.
И третье правило - всё запретить.
И ни кто ни куда не лезет.
Надо попробовать в “Защищенные COM-интерфейсы” заблокировать доступ к “Утилиты управления Windows”. Но я использую для svhost строго определенный набор правил и у меня не возникает необходимости выписывать куче софта разрешающие/запрещающие правила HIPS.
