Устраняем слепые зоны брандмауэра Windows 11: Полная защита сети

Встроенная сетевая защита Windows похожа на входную дверь, запертую снаружи, но через которую любой жилец может вынести ценности без досмотра. По умолчанию Microsoft разрешает практически любой программе отправлять данные наружу без проверки, что известно как отсутствие исходящей фильтрации (egress filtering).

Если вы хотите знать, какие приложения отправляют данные своим разработчикам, или желаете предотвратить связь вредоносного ПО со своим управляющим сервером (так называемым командно-контрольным центром) в случае атаки, вам необходимо усилить контроль.

С помощью правильных фильтров и целенаправленного ужесточения протоколов вы можете превратить открытое «шоссе данных» Windows в строго контролируемый пограничный пункт, который тщательно проверяет каждый исходящий пакет.

Базовая проверка в «Безопасности Windows»

Прежде чем поднимать цифровую заслонку, перейдите в раздел «Брандмауэр и защита сети» в «Безопасности Windows». Здесь убедитесь, что ваш сетевой профиль назначен правильно: используйте «Частная сеть» (Private) только в вашей домашней сети. В общественных точках доступа обязательна «Общедоступная сеть» (Public) для блокировки попыток подключения от внешних устройств.

Однако не стоит просто принимать конфигурации по умолчанию такими, какие они есть. Их главный риск заключается в односторонности: входящие пакеты данных проверяются, но исходящим соединениям обычно даётся карт-бланш. Именно в этом и заключается проблема — ведь шпионское или вымогательское ПО может беспрепятственно связаться со своими создателями.

Хотя Windows предлагает детальные правила фильтрации в разделе «Дополнительные параметры», эта консоль представляет собой запутанные дебри правил для нетехнических пользователей. Для безопасного и удобного использования базовой технологии платформы фильтрации Windows (WFP) мы рекомендуем инструмент Simplewall. Как простое фронтенд-улучшение, он делает мощные функции WFP доступными через интуитивно понятный интерфейс.

Цифровое радиомолчание с Simplewall

После запуска инструмента активируйте службу через «Enable Filter» и «Permanent Rules». Теперь Simplewall работает по принципу белого списка: каждое приложение блокируется, пока вы не одобрите его в режиме обучения одним щелчком мыши. Вы будете удивлены, как часто даже безобидные инструменты, такие как калькулятор или графические драйверы, запрашивают подключение без вашего ведома. Simplewall перехватывает каждую попытку подключения безусловно; доступ к сети приложение получает только после вашего явного разрешения, а телеметрия Windows блокируется по умолчанию.

Блокируя эти запросы, вы не только снижаете нагрузку от телеметрии, но и останавливаете потенциальное общение вредоносного ПО. В настройках (вкладка «Blocklist») вы также можете активировать предварительно настроенные правила против телеметрии Microsoft одним щелчком мыши.

Для стабильной работы следует также разрешить основные службы, такие как «DNS Client» на вкладке «System Rules». Не бойтесь экспериментировать: как только вы отключите фильтрацию, стандартные правила брандмауэра Windows немедленно снова вступят в силу.

Усиление DNS: Перекрываем утечку метаданных в вашей сети

Каждый раз, когда вы посещаете веб-сайт, начинается DNS-запрос, который по умолчанию отправляется в незашифрованном виде. Это означает, что ваш интернет-провайдер или потенциальные злоумышленники в той же сети могут точно видеть, к каким серверам вы обращаетесь, как будто читая открытую книгу.

Windows 11 предлагает современное решение для этого в виде DNS через HTTPS (DoH), который скрывает эти запросы внутри зашифрованного туннеля. Чтобы настроить DoH, перейдите в «Настройки» > «Сеть и интернет» и выберите ваш активный адаптер.

То есть «Ethernet» или «Wi-Fi». Затем в разделе «Свойства оборудования» нажмите «Изменить» рядом с «Назначение DNS-сервера». Здесь установите опцию «Вручную» и установите флажки для IPv4 и IPv6. Последний предотвращает обход шифрования через протокол IPv6.

Для «Предпочтительного DNS» в IPv4 введите, например, 9.9.9.9 (Quad9, фильтрует вредоносные сайты) или 1.1.1.1 (Cloudflare, ориентирован на скорость). Для конфигурации IPv6 используйте адреса 2620:fe::fe (Quad9) или 2606:4700:4700::1111 (Cloudflare). Важно: шаблон DNS-over-HTTPS, описанный в следующем шаге, должен быть установлен одинаково для обоих протоколов (IPv4 и IPv6).

Теперь следует решающий шаг в выпадающем меню «DNS через HTTPS», где вы выбираете опцию «Включено (вручную)». В появившемся поле «Шаблон DNS через HTTPS» скопируйте адрес https://dns.quad9.net/dns-query для Quad9 или URL https://cloudflare-dns.com/dns-query для Cloudflare. Также убедитесь, что опция «Возврат к обычному тексту» установлена на «Выкл.»: если Windows не получает зашифрованный ответ от сервера, связь будет отклонена. Последовательная защита данных: в сетевых настройках Windows убедитесь, что выбран ручной шаблон в разделе «DNS через HTTPS» и что возврат к обычному тексту отключен. Это гарантирует, что ваши DNS-запросы останутся защищенными от посторонних глаз.

Защита сети Microsoft Defender

Дополнительная функция защиты «Защита сети Microsoft Defender» блокирует соединения с известными фишинговыми сайтами и серверами вредоносного ПО на сетевом уровне — даже если приложение пытается установить соединение напрямую. Чтобы эта защита вступила в силу, Microsoft Defender должен работать в режиме активной защиты в реальном времени.

В Windows 11 Pro эту функцию можно легко включить через редактор групповой политики. Нажмите Windows-R, чтобы выполнить команду gpedit.msc, затем перейдите по пути: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа Microsoft Defender > Защитник Windows. Защита от эксплойтов > Защита сети.

Здесь найдите запись «Запретить пользователям и приложениям доступ к опасным веб-сайтам» и, дважды щелкнув по ней, установите значение «Включено». В поле параметров ниже выберите запись «Блокировать». Эта комбинация активирует проактивную защиту от опасных доменов.

Совет для пользователей Windows Home: Поскольку редактор групповой политики здесь недоступен, откройте окно PowerShell с правами администратора (щелкните правой кнопкой мыши по кнопке «Пуск») и используйте команду Set-MpPreference -EnableNetworkProtection Enabled. Как только защита станет активной, Windows будет блокировать вредоносные соединения, даже если программа имеет доступ к Интернету.

Обзор: Технические термины, относящиеся к усилению сетевой безопасности

Термин	Что означает	Значение для безопасности
Исходящая фильтрация (Egress filtering)	Мониторинг и фильтрация исходящего сетевого трафика на брандмауэре.	Предотвращает утечку данных, вызванную вредоносным ПО, и блокирует связь с серверами ботнетов.
DoH (DNS over HTTPS)	Шифрует запросы доменных имен (например, google.de) через порт 443.	Защищает DNS-запросы от перехвата третьими лицами; затрудняет создание профилей просмотра.
LLMNR / NetBios	Устаревшие протоколы для разрешения имен в локальной сети (замена DNS).	Отключение предотвращает перехват паролей путем манипуляции с поиском имен (спуфинг/отравление).
Атака «Человек посередине» (MitM)	Злоумышленник незаметно располагается между двумя общающимися сторонами, чтобы контролировать поток данных. Цель — перехват паролей или манипулирование данными.
SMB (Server Message Block)	Протокол для обмена файлами и принтерами в локальной сети.	Частая цель для червей и вымогательского ПО (яркий пример: WannaCry).
Скрытый режим (Stealth mode)	Брандмауэр молча отбрасывает пакеты, не отвечая («Drop» вместо «Reject»).	Уменьшает видимость ПК для сканеров портов/запросов ping и снижает автоматизированные попытки атаки.

Скрытый режим: Обеспечение невидимости в сетях

Современные системы Windows по умолчанию настроены на работу в так называемом скрытом режиме (Stealth Mode). Это означает, что брандмауэр Windows не отвечает на несанкционированные запросы на подключение явным отказом (Reject), а вместо этого отбрасывает пакеты данных без какого-либо ответа (Drop). Это затрудняет злоумышленникам идентификацию вашей системы.

Запись в пути «Policies» также гарантирует, что сторонние инструменты не смогут незаметно ослабить или отключить скрытый режим. Для этого нажмите Windows+R, введите regedit и нажмите Enter. Перейдите по пути HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft.

Если подпапка WindowsFirewall здесь отсутствует, просто создайте ее самостоятельно, щелкнув правой кнопкой мыши по папке Microsoft и выбрав «Создать» > «Раздел». Повторите этот шаг внутри новой папки для трех подразделов: DomainProfile, PrivateProfile и PublicProfile. Убедитесь, что вы используете точное написание без пробелов.

Теперь создайте новое значение DWORD (32-разрядное) с именем DisableStealthMode в каждой из этих трех папок профилей. Установка значения 0 гарантирует, что брандмауэр постоянно применяет скрытый режим. Хотя доступность через ping в основном контролируется общим доступом к файлам и принтерам, эта настройка обеспечивает дополнительное ужесточение конфигурации брандмауэра от нежелательной деактивации. Благодаря значению реестра DisableStealthMode = 0 вы принудительно активируете скрытый режим брандмауэра Windows и предотвращаете его отключение другими программами.

Избавляемся от устаревших проблем: Отключаем NetBios и LLMNR

Также рекомендуется отключить два устаревших, но часто еще активных протокола: NetBios и LLMNR. Оба используются для разрешения имен в локальной сети и в настоящее время в основном служат только в качестве запасного варианта, когда обычное разрешение DNS не удается.

Злоумышленники могут использовать эту уязвимость для выдачи себя за легитимные сетевые цели в так называемых атаках «человек посередине» и перехвата учетных данных для входа. Вы можете отключить LLMNR в реестре по адресу: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient.

Если ключ DNSClient еще не существует, создайте его, щелкнув правой кнопкой мыши. Затем создайте значение DWORD (32-разрядное) с именем EnableMulticast и установите его в 0. Это отключит разрешение имен на основе многоадресной рассылки через LLMNR.

Вы можете окончательно подвести черту под эпохой NetBIOS в классических настройках адаптера. Нажмите Windows+R, введите ncpa.cpl и нажмите Enter.

Щелкните правой кнопкой мыши по вашему активному адаптеру, выберите «Свойства» и дважды щелкните, чтобы открыть меню «Протокол интернета версии 4 (TCP/IPv4)». В разделе «Дополнительно» > «WINS» выберите опцию «Отключить NetBIOS через TCP/IP». Это закрывает одну из самых опасных лазеек для спуфинга разрешения имен в локальной сети и помогает предотвратить опасные спуфинг-атаки на ваши учетные данные в локальной сети.

Проверка открытых дверей: SMB и сетевые ресурсы

Часто вы уже даже не помните, какие папки вы когда-либо открывали для общего доступа в вашей домашней сети. Однако сетевой протокол SMB (Server Message Block) является основной целью для вымогательского ПО. Поэтому вам следует использовать команду net share в командной строке (Пуск > введите cmd > щелкните правой кнопкой мыши: «Запуск от имени администратора»), чтобы проверить, какие общие ресурсы активны.

Обратите особое внимание на административные общие ресурсы, такие как C$ или ADMIN$. Хотя их можно временно отключить с помощью net share [имя] /delete, Windows автоматически активирует их при каждом перезапуске. Чтобы предотвратить это навсегда, необходимо создать новое значение DWORD с именем AutoShareWks в реестре по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters и установить его в 0.

Важно: Этот шаг значительно повышает безопасность, но может ограничить доступ для специализированного программного обеспечения для резервного копирования или инструментов удаленного обслуживания в локальной сети. Если после внесения этого изменения вы столкнетесь с проблемами с такими программами, вы можете в любой момент отменить настройку, установив значение обратно на 1 или просто удалив запись.

Заключение

С помощью усиленного брандмауэра, зашифрованного DNS и деактивации устаревших протоколов вы можете эффективно защитить свою систему. Ваш ПК становится значительно труднее обнаружить в сети и разрешает передачу данных только тех, которые вы явно авторизовали. Таким образом, ваша цифровая линия защиты строится на прочном фундаменте.