System, svhost, lsass, services, wininit все кроме последнего входят в группу файлов Системные приложения Windows. Эти процессы прослушивают ряд портов:
Несмотря на то что это системные процессы, всё же хотелось бы понять какие из этих портов реально нужно оставить, а какие лучше принудительно закрыть. Например, DCOM(135) рекомендуют принудительно закрывать. Ну и в целом какие правила на исходящие соединения лучше всего прописать для этих программ, поскольку разрешать им всё не хотелось бы, а только действительно самое необходимое.
Ещё заметил такую странность что system слушает 80 порт, интересно зачем ему это? Т.е. если к примеру у меня будет стоять web-server и я открою 80 порт для входящих соединений, то для system его лучше наверное закрыть. Правильно?
p.s. не обнаружил у самого Comodo возможности посмотреть список портов прослушивания, есть только список активных подключений, а жаль.
Не зная задач, возлагаемых на конкретный компьютер, можно дать только общие рекомендации. Если есть какие-то, нетипичные для обычного домашнего компьютера, задачи, уточните, если не сложно, иначе рискуем опять несколько страниц ходить вокруг да около, как в позавчерашней теме, и получить в результате типичные для большинства настройки.
В целом, для обычного домашнего компа или небольшой домашней сети, для всего перечисленного, вполне достаточно только локального доступа. (Простая блокировка может привести к неработоспособности некоторых вещей, RPC, например). Исключение может составить svchost, которому внешний доступ может быть нужен, например, для BITS, Windows Update, ДНС-клиента. Решайте, нужны ли Вам эти и подобные службы.
С этим нужно разобраться. В общем случае это ненормально.
Лично я боюсь, что список был бы очень сильно перегружен, если бы CIS показывал каждый существующий сокет. В принципе, при наличии TCPView, CurrPorts и netstat это не самая большая проблема…
Вообще мне нужны настройки для обычного домашнего компа. BITS не понял что такое, Windows Update и ДНС-клиент естетсвенно нужны. Только вот Windows update это совсем другая группа файлов называется Средства обновления Windows. В приницпе и для неё также хотелось бы прописать только реально необходимые правила, но во вторую очередь. В первую меня интересует группа Системные приложения Windows.
А вы посмотрите сами у себя, думаю у вас будет тоже самое :). У меня Win7 64 бит.
Согласен что есть в принципе другие программы, я из одной такой скриншот и привел. Но не согласен с тем что этот список будет сильно перегружен, обычно прорамм прослушивающих определенные порт/ы не так много. Так что я напишу всё же в wishlist, было бы удобно иметь все в одном под рукой.
Я делал скриншот NetMonitor. Раньше когда у меня стоял Outpost у него был очень удобный список прослушиваемых портов. И он практически совпадал с тем что показавыл NetMonitor, так что сомневаться в том что у Comodo отсутствует весь список прослушиваемых портов не стоит, если ты сомневаешься.
Не будьте так уверены в ДНС-клиенте. Служба достаточно опасная и, в целом, бесполезная.
“Средства обновления Windows” - это exe-файлы, непосредственно выполняющие установку обновлений, wuauclt.exe, да ещё и, до кучи, обычный MSI-установщик. Служба “Windows Update”, она же wuauserv, занимается проверкой наличия, загрузкой обновлений и, впоследствии, уже запуском клиента. Работает она через svchost.
Если бы у меня было то же самое, я бы не писал, что это ненормально. Кернелмодных http-демонов у меня точно нет, тем более таких, про которые я не знаю.
Почему опасная и бесполезная? Я лично подразумеваю под DNS-клиентом обычные запросы svhost на 53 порт по UDP. Что в этом опасного? А о бесполезности как тогда программы будут получать имя IP-адреса? Редко кто делает собственные запросы, обычно пользуют стандартный gethostbyname.
Понятно. Ну так давайте обсудим уже какие конкретные правила необходимо прописать для группы Системные приложения Windows.
Может у вас XP? Или может у меня какая-то лишня служба запущена? Вроде IIS не установлен.
Если я вообще отключу эту службу будет ли работать автоматическое обновление Windows?
Если нет, тогда можно ли реализовать такие правила для доменов в Comodo:
Если допускается механизмом правил, то можно упростить порядок, разрешив службе BITS доступ к *.windowsupdate.com, *.microsoft.com и *.windows.com через протоколы HTTP и HTTPS.
Т.е. можно ли звездочку указывать в имени хоста в праилах?
Update.
В общем чего гадать, сейчас попробую. Но у меня такой вопрос возникает. Поскольку служба BITS находится в процессе svhost, а отдельно для служб из одного процесса нельзя правила прдусматривать в Comodo придется правила делать для svhost. И тут вопрос: каков приоритет обработки правил для приложений если одно и то же приложение находится в группе файлов и также внесено отдельно в список? Можно конечно исключить svhost из группы системных приложений, но я этот вопрос в приницпе давно хотел задать, так чтобы знать на будущее.
То, что через разрешение имен могут уехать данные. Маленькими “кусочками”, но курочка-то тоже по зёрнышку. Именно поэтому большинство продуктов стараются тщательно контролировать доступ к ДНС-клиенту.
gethostbyname как раз сама делает запрос через ДНС-клиент, если служба работает, или стандартым образом (новый сокет/UDP на 53-й, на зарегистрированный в системе ДНС-сервер) если её нет. Делать для этого ничего дополнительно не нужно.
Ух. Знаете, сколько раз это уже обсуждалось… Пока попробуйте поставить для них только локальный доступ, если вдруг кого-то “скрючит”, тогда будем разбираться
У меня и XP, и “не XP”, и, независимо от этого, нигде нет веб-серверов о которых я ничего бы не знал. IIS “слушает” от имени inetinfo.exe, к тому же по нескольким портам (smtp, https и т.д.). Ищите драйвер, который этим занимается.
Как его контролировать то? Либо разрешить либо нет исходящие запросы по UDP на 53 порт.
Так svhost в результате и делает запрос, если вызвать gethostbyname. Так что для svhost необходимо разрешать исходящие DNS-запросы, иначе все те проги что используют WinSock API для получения IP-адреса хоста работать не будут.
Где хоть обсуждалось то дайте ссылку? В любом случае почему бы не обсудить ещё раз и совместными усилиями сделать FAQ в результате ;)?
И что значит поставить для них только локальный доступ?
Может это конечно в XP. Тогда можете мне ради интереса привести скриншот 2IP NetMonitor?
Ведь даже там на скриншоте с сайта датированным 2007 годом видно что System и svhost прослушивают многие порты.
Так что ваше утверждение
Порты слушают только не системные приложения (миранда, скайп и т.д.)
может быть заблуждением. Или может у вас почти все службы выключены. В общем, покажите скриншот, плиз.
Не сервисхост контролируют, а доступ к нему через “\RPC Control\DNS Resolver”.
Ещё раз, если служба ДНС-клиент недоступна, то ДНС-запрос будет сделан от имени самой “интересующейся” программы. Как в старые добрые времена. (Например у меня уже много лет ни одна программа так “не работает”, в том числе когда я это пишу )
Ну а какой смысл отключать службу DNS-клиент? Лишняя морока добавляется – прописывать для каждой программы обращающейся в сеть(поскольку почти каждая будет требовать разрешения имени хоста в IP-адрес) доступ к DNS-серверам? То одно системное приложение svhost и одно правило для него, а то куча правил для каждой из программ(а их не мало будет).
Кроме того запросы DNS нужны самому svhost для обновления Windows, так что всё равно придется прописывать разрешающее правило DNS-запросов для самого svhost . И тогда одно правило для svhost вместо кучи правил для каждого приложения мне кажется наиболее приемлиемый и очевидный вариант.
Ну а уж если эта служба включена, а DNS-запросы svhost запрещены, то любая программа будет делать DNS-запрос от своего имени после вызова gethostbyname только в том случае, если явно заблокированы DNS-запросы в Защита+, иначе программа не будет получать ответы от DNS-сервера, поскольку svhost’у они не разрешены.
Итог: DNS-клиент должен быть включен и Svhost должны быть разрешены запросы по UDP на 53 порт.
Убедил? Не?
