WFC firewall znemoznuje overeni souboru
Zdar,
pocitac s Windows 7.
Nainstaloval jsem WFC.
Od te chvile, kdyz jdu do prohlizece udalosti - protokol zabezpeceni, tak to pise "neuspesny audit".
WFC jsem dal na stredni filtering, udelaly se tam samo od sebe pravidla, ktera byla zelena, teda povolen pruchod a pravidla, ktera jsou bila, teda neaktivni. Pak jsem si tam sam nahodil pravidla, ktera jsou cervena, teda aktivni blokace. Vsechna cervena pravidla mam pod kontrolou, teda vim, proc je tam mam.
Napriklad PotPlayer si chce neco odeslat sem tam, ale neodesle. Nebo mam pres tato pravidla zakazanu Javu. Potom RTSS pouziva Afterburner, ale ja mu utap kdyby nahodou chtel neco poslat ven, FreeCommander taky pouzivam, ale uplne mu neverim, Punkbuster mam taky zakazany a cerveny.
Nechapu ale proc ten neuspesny audit je tohle:
Platforma Windows Filtering Platform zablokovala připojení.
Informace o aplikaci:
ID procesu: 1256
Název aplikace: \device\harddiskvolume2\windows\system32\svchost.exeInformace o síti:
Směr: Odchozí
Zdrojová adresa: 192.168.1.102
Zdrojový port: 56390
Cílová adresa: 172.217.23.206
Cílový port: 80
Protokol: 6Informace o filtru:
ID filtru za běhu: 1389918
Název vrstvy: Připojit
ID vrstvy za běhu: 48
Mi to prijde, ze se chce nejaka systemova knihovna overit, ale nemuze. Nechapu proc. Zadny svchost.exe zakazany (cerveny) nemam. Takze me zajima, kde je problem a co udelat, aby byl audit uspesny?
protože máš zřejmě pravidlo na to, co není ve vyjimkách, je automaticky zakázané
Presne tak, ale co mam delat pro to, abych molh nechat aplikovane toto pravidlo a zaroven se mi provedlo overeni?
Musel bys povolit komunikaci pro tu aplikaci, případně zapnout režim učení, aby tě WFC žádal při pokusu o potvrzení.
Problém je u služeb, které komunikují třeba ještě dřív než jsi přihlášený - pak není uživatelské rozhraní.
Ale mne tam neuspesne audity naskakuji i behem provozu, takze kdyz jsem prihlaseny.
Jenze mne maji na Medium vsechny aplikace zadat o potvrzeni ve WFC a taky zadaji, ale tento svchost.exe nezada a pritom nikde ho v pravidlech nevidim cerveny, takze zakazany neni.
SVCHost je ServiceHost - takova berlička pro aplikace, které nejsou psané, aby běžely jak služba, ale byly spuštěné jako služba.
Zobraz si příkazový řádek a zjisti, co konkrétně přes SVCHost běží.
Je to podobné jako DLLRun - to zase umožní spuštění něčeho z DLL knihovny, protože DLL knihovna se samostatně spustit nemůže.
Muzes byt prosim konkretnejsi? Ja nejak nevim, co mam delat?
Třeba
Process Explorer to ukáže taky.
Správce úloh, zobrazit sloupec příkazový řádek
Oboum dik, vecer to udelam a dam vedet, jak to dopadlo.
Zapnul jsem, ale zadna zmena, stejne to tam naskakuje.
Proste z nejakeho duvodu, ac jsem ve firewallu povolil vse co jsem nasel neaktivni pravidla, tak stejne furt ty same "neuspesne audity".
Bud ten firewall nedokaze zachytit vsechna spojeni nebo si to proste zije vlastnim zivotem.
Ten WFC tu pouziva vic lidi, tak pokud maji filtering nastaveny na Medium (default se nastavuje na Low) a pri instalaci prevzali vychozi pravidla, tak tam musi mit stejne chyby take.
jedna technická: viděl jsi někdy v eventlogu v kategorii zabezpečení nějaký normální záznam?
buď tam není nic, nebo nesmysly.
Trvam na "uspesnem auditu", nevim proc, nevim k cemu je to dobry, ale proste chci, aby se to logovalo uspesne.
Já raději do eventlogu moc nekoukám, akorát se vždycky na*eru.
Povoleno odchozi kamkoli a prichozi na lokalu, stejne to tem sluzbam pise "neuspesny audit" kvuli neuskutecnenemu odchozimu spojeni.
Kaslo na to, jak pise L-Core, radsi se do eventlogu nedivat. Ikdyz ja jsem se tam na Windows 7 (zcela bez jedinne chyby) dival rad.
Jeste jednou po-radcum dekuju.
https://www.reddit.com/r/Windows10/comments/3g402j/windows_keep_waking_itself_from_sleep/
Skontroluj a zakáž v Správe zariadení (Sieťová karta, prípadne myš a klávesnica) - Povoliť prebudiť týmto zariadením - zakázať.
--------------------------------------------------------
WFC nemá problém, len ho nevieš nastaviť. WFC tvorí iba barličku o ktorú sa musíš vedieť oprieť svojimi znalosťami OS Windows.
Ideálne bude, ak vo WFC zmažeš úplne všetko, komplet riadky (zelené, biele, oranžové). Vyčisti WFC, týmto úkonom sa zmaže tiež komplet nastavenie vo Firewall Windows. Začneš pracovať s čistým štítom Firewall.
Nastav WFC do zeleného šmajlíka, aby pracoval v interaktívnom režime. (nie v učiacom sa režime, si snáď chytrejší, než nejaký SW).
Nastav WFC, aby ti oznámil na monitore všetko, IN/OUT (príchodzie a odchodzie pripojenia, pakety).
Obratom reštartuj PC.
Po reštarte postupne v oznamovacích oknách WFC povoľuj pravidlá, najprv sa venuj systému. Potom sa postupne venuj obslužnému SW, browserom, poštovému klientovi v akom poradí sa budú pripájať v oznamovacích oknách WFC ak klikneš na zástupcu alebo na *.exe.
Vždy sa konfigurujú dve pravidlá. Tj. dva zelené riadky vo WFC. Jedno pravidlo je určené pre odchod a druhé pre príchod.
Host Process for Windows Services (svchost.exe), musíš mať povolené pre miestne porty a adresy: Jakýkoliv - Jakýkoliv, oboma smermi in/out pre všetky programy a pakety.
(Na súbore svchost.exe visí aj šifrovaná Telemetria Windows v 64kB súboroch typu cookies, čo ale WFC nedokáže odhaliť, musel by si disponovať kvalitným HW firewall, napríklad ZyXel Zywall, čo je drahá hračka, od sumy 600€).
NT Kernel & System (System) - môžeš zablokovať oboma smermi, čo ti zo začiatku neskúseného občana, neradím.
------------------------------------------------------------
Ostatný SW, ktorý sa bude postupne hlásiť v okne pripojenia WFC in/out, si nastavíš podľa uváženia a vlastného vkusu, pocitu osobnej bezpečnosti.
Ono je možné, že sa sporadicky, sofistikovane ozve nejaký zašitý *exe systému, ktorý sa bude chcieť pripojiť do ústredia bonzákov. S kľudom mu zatni žílu u pytlíku, zakáž. (explorer.exe, dwm.exe, wsqmcons.exe, wmplayer.exe, appraiser, telemetria, defender a desiatky iných amerických, kapitaľistických, zahnívajúcich, proitisociaľistických špicľov).
Ak WFC na záver vyladíš, sprav si zálohu oboch nastavení uloženú v súboroch (*.wfs a *.wfw).
No, zacinat odznovu se mi moc nechce, ale dobre, kazda rada se pocita a treba az se nekdy budu nudit, tak to zkusim opravdu smaznout a zacit znovu.
To, ze je potreba povolit jakekoli porty a adresy vim a mam povoleno.
Diky za tipy na zalohu nastaveni, to jsem ani netusil, ze to lze.