Обзор Файервол Ф - продвинутый отечественный брандмауер

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
8,031
Решения
15
Реакции
6,808
Ф - это фаервол, поддерживается IPv4 и IPv6 одновременно. Ф в отличии от устаревших фаеров способен сопоставлять доменные имена и IP адреса.
Вы можете фильтровать трафик, используя доменные фильтры вместо IP адресов.
С версии 2.0 доступны дополнительные функции: защита выбранных каталогов от шифровальщиков и утечки данных, защита реестра, история процессов с историей доступа их в сеть, контроль запуска процессов, контроль загрузки и установки драйверов и служб, защита от внедрения потоков в процессы.
С версии 2.10 добавлен контроль микрофонов/линейных входов и вебкамер.

Майкрософт не желает видеть на рынке независимых производителей драйверов поэтому Ф работает исключительно с включенной опцией "Test signing", позволяющей загружать самоподписанные драйвера.
Игры с некоторыми античит движками не запускаются с этой опцией, если для вас это критично то НЕ устанавливайте Ф.
При включении "Test signing" для некоторых версий Windows на рабочем столе отображается надпись о том, что Windows работает в тестовом режиме.
Фаервол бесплатный для личного использования, но имеются региональные ограничения.

Автор: Кузнецов Д.М.

Официальный сайт: http://dsrt.dyndns.org:8888

Подробное описание и руководство:

(Ф)аервол v2.13 Бесплатная версия Copyright (c) Дмитрий Кузнецов 2022-24
Официальный сайт: http://dsrt.dyndns.org:8888
e-mail : demkd@mail.ru

Поддерживается IPv4 и IPv6.
Поддерживается фильтрация сетевого трафика по доменным именам, включая IDN.
С версии 2.0 дополнительно поддерживается фильтрация доступа приложений к каталогам и ключам реестра.
С версии 2.10 добавлен контроль микрофонов/линейных входов и вебкамер.
Только для x64 систем, поддерживается Win7SP1-Win11, минимальная поддерживаемая серверная система WinSrv2008 R2 SP1.
(!) Не работает с активной функцией Secure Boot.

Ф состоит из двух компонентов: драйвер (F.sys) и программа управления (F.exe).
Ф оптимизирован для максимальной производительности и минимизации потребляемых ресурсов, приложение для управления фаерволом (F.exe)
не требует никаких дополнительных привилегий или админских прав.
В процессе работы Ф НЕ внедряет в процессы потоки/DLL, НЕ занимается сплайсингом в отличии от других продуктов сходного назначения.
F.exe можно не запускать или выгрузить (если не нужно вносить изменения в настройки), на работу фаервола и доп. функций это никак не влияет.

==> Ограничения <==
Ф предназначен для русскоязычных пользователей, доступен только русский интерфейс, перевода на другие языки не будет.
ЗАПРЕЩЕНО ЛЮБОЕ использование данного программного обеспечения налоговыми резидентами и гражданами "недружественных" стран и территорий:
Австралия, Албания, Андорра, Багамские острова, Великобритания со всеми "коронными" землями, все страны ЕС, Исландия, Канада, Лихтенштейн,
Микронезия, Монако, Новая Зеландия, Норвегия, Республика Корея, Сан-Марино, Северная Македония, Сингапур, США, Китайская Республика (Тайвань),
Украина, Черногория, Швейцария, Япония.

Физическим лицам не попадающим под вышеизложенное ограничение предоставляется право на БЕСПЛАТНОЕ использование Ф в ЛИЧНЫХ целях и
свободное распространение программного обеспечения в виде исходного архива, БЕЗ права его модификации.
Ф предоставляется "КАК ЕСТЬ" без каких-либо гарантий.

Минимальные требования: Windows 7 x64 SP1. (НЕ рекомендуется использовать устаревшие системы из-за их уязвимости)
(!) 32-х битные системы не поддерживаются.
(!) Для Windows 7 требуется SP1 и обновление: KB4474419.
(!) Рекомендуется установить все обновления для младших систем, в них изначально было очень много проблем с WFP.

(!) Майкрософт не желает видеть на рынке независимых производителей драйверов, поэтому Ф работает исключительно с включенной опцией "Test signing",
(!) позволяющей загружать самоподписанные драйвера, что снижает безопасность системы в целом.
(!) Эту опцию не любит большинство игровых античит движков, конечно проверку можно обойти и запустить игру с любым античит движком,
(!) но в бесплатной версии функции обхода проверки на тестовый режим нет и не будет.
(!) Если у вас имеется рабочий, устаревший сертификат, то вы можете подписать F.SYS задним числом и использовать Ф в обычном режиме Windows,
(!) но следует учитывать тот факт, что функция Secure Boot и последние обновления Windows будут препятствовать загрузке драйверов,
(!) подписанных устаревшими сертификатами.
(!) Ф не является фаерволом с предустановленными фильтрами, всю защиту вы строите с нуля. (подробнее смотри ниже)
(!) Любая защита может быть преодолена, поэтому не забывайте про необходимость бэкапов и паролей на архивах, криптокошельках и т.д.
(!) Рекомендуется включить защиту параметров драйверов и служб это не позволит загрузить новый драйвер или установить службу без вашего разрешения.

(!) С версии 2.0 добавлены новые защитные функции, эти функции оказывают влияние на скорость открытия файлов (но не на скорость их чтения) и
(!) потребляют больше невыгружаемой памяти ядра.
(!) Включить их можно в настройках, затем перезагрузить систему для их полной активации, после чего станут доступны новые пункты меню.

Для понимания уровня влияния на производительность файловой системы был проведен сравнительный тест.
Тест производился в каталоге HDD с 48091 mp3-файлами, размещенными в 1988 подкаталогах.
Общий объем файлов: 762GB
Тест состоял из рекурсивного перебора всех подкаталогов и файлов, каждый файл открывался и тут же закрывался БЕЗ чтения содержимого.
Далее таблица с результатами, в т.ч. и при совместной работе с двумя наиболее популярными антивирусами.
--------------------------------------------------------------------------------------------------------------------------------------------
| статус Ф | статус антивируса | Контроль каталогов | Лог всех операций в каталоге | 1й проход | 2й проход |
--------------------------------------------------------------------------------------------------------------------------------------------
| драйвер не загружен | Windows Defender заблокирован | - | - | 49 сек. | 2.2 сек. |
| активен | Windows Defender заблокирован | - | - | 50 сек. | 2.3 сек. |
| активен | Windows Defender заблокирован | Ф | - | 52 сек. | 2.4 сек. |
| активен | Windows Defender заблокирован | Ф | да | 52 сек. | 2.5 сек. |
| активен | Windows Defender защита отключена | Ф | да | 57 сек. | 2.4 сек. |
| драйвер не загружен | Kaspersky Free защита отключена | - | - | 57 сек. | 3.1 сек. |
| активен | Kaspersky Free защита отключена | Ф | да | 57 сек. | 3.3 сек. |
| активен | Windows Defender | Ф | да | 938 сек. | 1.6 сек. |
| драйвер не загружен | Windows Defender | Windows Defender | - | 954 сек. | 1.4 сек. |
| активен | Kaspersky Free | Ф | да | 1162 сек. | 15 сек. |
--------------------------------------------------------------------------------------------------------------------------------------------
Стоит отметить аномальное влияние дефендера на 2й проход, он проходит значительно быстрее чем в системе без Ф и с заблокированным дефендером.

Новые функции необходимы для повышения уровня защиты от утечки данных. При правильной настройке фильтров подмена файла или внедрение потока
не позволит похитить и передать данные в сеть, поскольку правильные фильтры базируются на доменных именах и строго ограничивают утечку трафика,
что есть невозможная задача для обычных фаерволов, где доступ в лучшем случае регулируется по ip.
Однако есть и приложения с неограниченным доступом в сеть, например браузеры и в случае подмены исполняемого файла браузера данные могут быть
легко похищены. Для снижения риска подобной ситуации добавлено несколько новых функций:

1. Ограничение доступа к каталогам с важными данными.
Вы можете установить права доступа приложениям к любому выбранному каталогу. К каталогу будут иметь доступ только те приложения, которым
будет позволено читать или изменять содержимое. Например для каталога с фото можно установить полный доступ для графических редакторов, а
только чтение для: эксплорера/файлового менеджера и программ для просмотра фото. Для каталога с криптокошельками доступ только для самого кошелька.
Ограничив доступ на запись к важным каталогам вы автоматически защищаете их и от шифровальщиков, что поможет избежать потерь данных при заражении.
Защита распространяется и на все вложенные каталоги.
Горячие клавиши: Del - удалить из списка, Enter - войти в настройки каталога.
В логе каталога отображаются: дата/время, процесс, файл/каталог, запрошенный тип доступа:
R - чтение, W - изменение содержимого/атрибутов/прав доступа, D - удаление, N - переименование/перенос, C - создание.
Для каталога вы можете выбрать тип доступа, уровень логирования, включить уведомления о новых записях в логе, включить особый режим доступа (см. п.2)
Дополнительно можно ограничивать доступ к физическим и логическим дискам (иначе прямой доступ к диску позволит обходить любые запреты на чтение).
(!) Порядок каталогов в списке важен, изменять порядок каталогов можно с помощью перетаскивания их мышкой.
(!) Если вы ограничиваете доступ к дискам то не забудьте предварительно добавить разрешения для системных приложений.
(!) (chkdsk, system, registry, vssvc, dllhost, autochk, smss и т.д. все что попадут в лог диска после перезагрузки)
(!) Полное логирование операций в каталогах потребляет значительное количество памяти при высокой файловой активности.
(!) Ограничение на размер лога задается в настройках. (В текущей версии это 3 лога: сетевой лог, лог доступа к каталогам, лог доступа к реестру)
(!) Если максимальный размер лога указан 100мб, то для КАЖДОГО лога может быть не более 100мб.
(!) Цепочка запуска процессов не анализируется, т.е. если у приложения x.exe доступ только чтение, а у z.exe полный доступ, то у z.exe будет
(!) полный доступ даже в случае если z.exe был запущен из x.exe.
(!) Это позволяет не выдавать уязвимому эскплореру обязательный полный доступ к каталогам.
(!) Учитывайте это при выдаче прав, каждое приложение имеет фиксированные права доступа вне зависимости от того как оно было запущено.

2. Защита каталогов приложений от модификации сторонними приложениями без необходимости выдачи отдельных разрешений каждому приложению в этом каталоге.
Приложения автоматически получают полный доступ ко всему каталогу, для которого активирована эта опция, при этом внешним (по отношению к каталогу)
приложениями можно закрыть доступ даже на чтение, при этом приложения не теряют способности к самообновлению и защита для них полностью прозрачна.
Защита активируется флагом в настройках каталога:
"Разрешить полный доступ без лога любому приложению НЕ из списка доступа, запущенному из этого или вложенного в него каталога".
(!) Защита от записи каталога дополнительно защищает приложения в нем от использования техники Process Doppelganging.
(!) Полный запрет доступа в каталог защищает приложения и от более опасной техники Process Hollowing.
(!) Рекомендуется защитить каталог запуска F.exe от записи или полностью закрыть его.
(!!!) Для запуска практически любого приложений из закрытого каталога необходимо предоставить доступ на чтение для csrss, system и explorer,
(!) в случае Chrome требуется и svchost, иначе не будет работать его самообновление, оно у них реализовано... затейлево и через запасной проход,
(!) поэтому оно и без ограничений то работает, то нет. В любом случае при настройке таких каталогов включайте полное логирование оно позволит легко
(!) определить, что требуется для нормальной работы приложения в закрытом каталоге.
(!) Рекомендуется ПОЛНОСТЬЮ закрывать доступ к каталогу Ф, каталогам браузеров и других приложений, имеющих неограниченный доступ в сеть.
(!) Если у процесса есть доступ на чтение к каталогу с браузером, то этот процесс может легко передать в сеть ограниченный объем данных просто запустив его
(!) с URL содержащим эти данные, поэтому для блокировки запуска браузера и рекомендуется полностью закрывать доступ к каталогам браузеров, разрешив доступ только
(!) для explorer-а и системных процессов, которым доступ дейтсвительно необходим.

2. Защита от внедрения потоков.
Вы можете активировать защиту от внедрения в настройках и тем самым защитить процессы от внедрения зловредных потоков. Ф в этом случае выдаст
предупреждение с указанием процесса внедрившего поток и если разрешено уничтожение потоков, то и уничтожит поток на этапе его создания до выполнения кода.
Некоторым приложениям и системным процессам требуется такая функция, в этом случае можно выставить соответствующие разрешения
для этих процессов в разделе "Параметры процессов". Рекомендуется сперва выдать разрешения и лишь потом активировать защиту от внедрения.
(!) Используйте с осторожностью эта функция использует недокументированные возможности Windows.
(!) Не рекомендуется использовать эту функцию в Windows 7 из-за большого числа системных процессов балующихся внедрением потоков.

3. Параметры процессов.
В этом разделе вы можете выдать разрешения процессам на внедрения потоков. Запретить запуск процессов или включить уведомления на запуск.
Уведомления на запуск могут быть полезны для контроля зловредной активности, например запуск cmd.exe, особенно 32-х битного довольно часто является первым
признаком заражения.

4. История процессов.
Это вспомогательный раздел. В контекстном меню доступны дополнительные функции такие как поиск родителя процесса.
В этом окне действует комбинированный многоуровневый фильтрующий поиск по имени процесса, его PID и родителю.
Вход в процесс автоматически включает фильтр по родителю и в списке останутся лишь потомки процесса.
Если продолжить путь по потомкам то фильтр по родителю будет изменятся автоматически, обратно по цепочке потомков к прародителю вы можете подняться с помощью
клавиш ESC или Backspace (если строка текстового фильтра пуста).

5. Защита от запуска svchost зловредами.
При активации этой опции запуск svchost станет возможен лишь узким кругом системных процессов.
При попытке его запуска тем же эксплорером появится уведомление, а запуск не состоится.

6. Защита от создания или обновления параметров ImagePath и ServiceDll всех служб и драйверов.
Вы можете установить белый список для этих параметров.
(!) При активации защиты создание новых служб/драйверов, загрузка новых драйверов в рантайме станет невозможной
(!) если вышеуказанные параметры не находятся в белом списке. Тем самым закрывается уязвимость системы связанная
(!) с включением опции "Test signing". Ни один НОВЫЙ драйвер не может быть загружен в ядро без добавления в белый список.
(!) Тоже самое касается и НОВЫХ служб, если ImagePath не в белом списке то служба не будет создана.
(!) Попытка обновления вышеуказанных параметров для СТАРЫХ служб/драйверов тоже не пройдет, вы получите уведомление об этом событии.
(!) uVS не сможет подключиться к системе если в Ф активна эта опция, необходима будет дополнительная настройка,
(!) учитывайте это при настройке фаервола на удаленном компьютере.

7. Список событий.
Еще один вспомогательный раздел, в нем хранится история уведомлений. Двойной щелчок по уведомлению с указанным в нем PID откроет окно истории процессов
с установленным фильтром на этот PID. PID - это уникальный идентификатор процесса, но стоит помнить, что он уникальный лишь до завершения процесса и может
существовать любое число завершенных и при этом разных процессов с одним и тем же PID, поэтому для определения конкретного процесса нужно использовать
не только сам PID, но и учитывать время события. Для некоторых типов уведомлений с помощью двойного щелчка мыши можно получить дополнительную информацию.

Доступна и защита ключей реестра от удаления и модификации, при первом добавление ключа рекомендуется нажать кнопку "Помощь" и ознакомиться со справкой.
Все аналогично защите каталогов, кроме запрета на чтение ключа, операции чтения не контролируются.
(!) Неправильная настройка прав доступа может привести к тому, что система не сможет загрузиться.
(!) Порядок ключей в списке важен, изменять порядок каталогов можно с помощью перетаскивания их мышкой.

Фильтры и прочие настройки хранятся в файле "фильтр.dat" в каталоге ПЕРВОГО запуска F.exe. Вы можете переносить F.exe и запускать его из любого каталога
или даже флешки, а вот файл настроек вручную переносить нельзя, для переноса настроек нужно использовать соответствующие пункты в меню "Настройка".
(!) файл защищен от модификации и имеет ЭЦП, любая попытка модификации или его подмены приведет к отказу его загрузки, о чем предупредит клиентская часть Ф.
(!) При наличии бэкапа файл фильтров будет восстановлен автоматически, бэкап создается при любой изменении списка фильтров.
(!) Для переноса всех или части настроек на другой компьютер используйте соответствующие пункты подменю "Настройка".

==> Введение <==
Если вам важен полный контроль доступа в сеть приложений (включая системные) то возможно Ф вам подойдет, если же вы всегда выдаете бесконтрольный
доступ понравившимся приложениям то можете дальше не читать, не имеет значения какой фаер у вас установлен.

В отличии от морально устаревших фаеров, что появились уже давно и не способны обеспечить полноценную фильтрацию трафика, Ф позволяет взять сетевые потоки
данных под контроль благодаря способности распознавать доменные имена для большинства IPv4/IPv6 адресов и доменным фильтрам.
Можете ли вы распознать принадлежность IP адреса на глаз? Как часто вы выдаете разрешение приложению просто взглянув на IP адрес без его проверки?
В Ф нет запросов на подключение, фаер не будет спамить вам окнами, но вы сможете в любое удобное вам время просмотреть список запросов на подключение,
разрешить или запретить доступ приложениям в сеть или к отдельным доменным/IPv4/IPv6 адресам/портам/протоколам.
(!) Функция распознавания доменных имен работает исключительно с DNS доступными по протоколу UDP IPv4/IPv6.
(!) В текущей версии TCP запросы к DNS игнорируются, как и DoH.

Ф предлагает совсем иной уровень комфорта настройки и безопасности по сравнению с обычными фаерами: вы сразу будете видеть и IP адрес и доменное имя,
причем не просто какой-то там cph30r3.msedge.net, а тот адрес к которому и обратилось приложение изначально т.е. в данном случае pti.store.microsoft.com.

В обычном фаере вы настраиваете фильтрацию опираясь на IP адреса, в Ф основной является фильтрация на базе доменных имен,
которая и позволяет ограничивать приложения работающие с сотнями, а то и тысячами постоянно сменяющихся IP адресов... которые соответствуют всего лишь десятку доменных имен.
Типичным примером является SVCHOST.EXE, которому "типичные" фаерволы всегда выдают бесконтрольный доступ в сеть по умолчанию, что уже несколько лет эксплуатируется
разнообразными зловредами. Попытка ограничить такие приложения по IP очевидно заканчивается провалом из-за огромного числа динамических адресов сменяющихся практически непрерывно.

Благодаря доменным фильтрам вы сможете легко ограничить выделенный браузер например для работы с финансовыми инструментами и вам не нужно будет
ежечасно добавлять новые IP адреса в белый список. В итоге браузер не сможет отправлять данные и статистику о ваших действиях даже разработчику,
отправка данных на адреса за пределом узкого круга доменных имен будет просто невозможна.
(!) Фильтры построенные на доменных адресах работают одновременно с любой версией IP, т.е. если вы перейдете с IPv4 на более современный
(!) IPv6 все доменные фильтры продолжат работать.
(!) ICMP/DNS запросы могут быть использованы для создания туннеля для скрытой передачи данных,
(!) не стоит разрешать приложениям отправку ICMP/DNS запросов на произвольный адрес.
(!) DNS запросы можно разрешить отправлять лишь системе и только на доверенные сервера.

==> Начало работы <==
Для установки фаервола запустите _setup.exe.
При первом запуске Ф переходит в режим начальной настройки, фильтрация трафика деактивирована, поэтому вы можете смело ставить Ф на удаленный компьютер без опасения
потерять над ним контроль, как это происходит при установке любого существующего фаера.
Включить фильтрацию вы можете в меню, которое выпадает по щелчку правой кнопкой мыши по значку Ф в трее.
(!) Фильтрация ВСЕГДА автоматически включается после перезагрузки или вы можете ее включить в меню после завершения настройки.
(!) Ф поставляется БЕЗ предустановленных фильтров, весь трафик и IPv4 и IPv6 будет блокирован при активации фильтрации, будьте внимательны при работе с удаленной системой,
активируйте фаер лишь после предварительной настройки.
(!) В Ф нет возможности просто открыть порт без привязки к приложению, такое действие противоречит самому понятию "безопасность", поэтому нет никаких "глобальных" фильтров,
все фильтры строго привязаны к конкретным приложениям или "системе".

Фаервол очень прост в настройке: три рабочих окна и один пункт меню для вызова главного окна. (или используйте горячую клавишу Alt+Shift+\, описание ее см. ниже)
(!) Ф НЕ выдает никаких окон и предупреждений о доступе в сеть, трафик молча блокируется.

Доступна горячая клавиша: Alt+Shift+\
При ее нажатии открывается редактирование фильтров для процесса, владеющего активным окном с фокусом ввода.
Если при нажатии горячей клавиши окно "Приложения с логом запросов" уже было открыто, то это окно становится активным.

В основном окне "Приложения с логом запросов" вы увидите список приложений, которые пытались получить доступ в сеть или для них выбран режим логирования и их
список запросов в сеть не пуст.
Первым в списке отображается приложение пытавшееся получить доступ в сеть последним.
Список обновляется автоматически только при открытии или закрытии окна настроек фильтров приложения или самого окна "Приложения с логом запросов".
Для обновления списка вручную используйте соответствующую кнопку.

По умолчанию действует фильтр скрывающий приложения не имеющие необработанных запросов на соединение. (т.е. тех что не попадают под установленные фильтры).

В окнах со списками доступен фильтрующий поиск по списку, если фокус ввода стоит на списке, то просто набирайте на клавиатуре
часть текста из списка который вам нужно найти.
(!) Не нужно тыкать мышкой в строку поиска, как в других программах, сразу набирайте текст прямо из списка.

В окне "Приложения с логом запросов" поиск возможен по полному пути до файла, а в окне настройки фильтров по доменным именам и IP адресам.
Для удаления последней набранной буквы используйте Backspace.
Для сброса поисковой строки нажмите ESC.

Кнопка "Все приложения" добавит в список приложения, для которых уже созданы фильтры или задан безусловный режим фильтрации.
Кнопка "Удаленные приложения" отображает приложения файлы которых отсутствуют или по каким-то причинам недоступны. (например F.exe не имеет доступ в каталог)

(!) Приложения с пустым списком фильтров И без запросов в сеть И типом доступа "Использовать фильтры для доступа в сеть"
(!) удаляются из списка автоматически.

Двойным щелчком по приложению или нажав Enter вы можете открыть окно текущего приложения.
В этом окне в первом списке отображаются запросы в сеть, не попадающие под текущие фильтры.
После добавление фильтра из этого списка пропадут все запросы попадающие под добавленный фильтр.
Второй список это список фильтров, фильтры действую в порядке указанном в списке, первый в списке имеет максимальный приоритет.
Изменять порядок фильтров можно перетаскивая их мышкой.
При нажатии на конопку "Путь" эксплорер откроет каталог с файлом.
При нажатии на конопку "Версия" эксплорер откроет свойства файла.
Если что-то непонятно то используйте кнопку "Помощь".

==> Рекомендуемый порядок начальной настройки <==
1. Зайдите в приложение SVCHOST.EXE и разрешите ему доступ к DNS серверам (UDP 53, если активен DNS кэш),
(!) разрешающий фильтр должен быть на IP адрес, а не доменное имя (!),
внимательно проверьте адреса на которые вы выдаете разрешение, никогда не выдавайте разрешение на доступ к неизвестным вам DNS серверам.
Выдайте доступ для локальной подсети если это необходимо, разрешите или запретите SVCHOST доступ на сервера майкрософт, используя доменные
фильтры. SVCHOST требуется доступ на сервера сторонних компаний для проверки сертификатов, поэтому рекомендуется разрешать их доменными фильтрами
по мере поступления запросов. Не забудьте и про программы удаленного управления.
(!) Никогда не выдавайте безусловный доступ для системных приложений это широко эксплуатируется массой зловредов.
(!) Установленные фильтры, параметры доступа и логирования вступают в действие ПОСЛЕ закрытия окна настройки фильтров приложения.

2. По мере появления приложений в списке настройте им доступ в сеть максимально используя доменные фильтры где это только возможно.
Доступ к подсетям задавайте с помощью маски, старайтесь минимизировать количество фильтров.
Размещайте фильтры разумно, учтите что порядок фильтров имеет значение. (порядок фильтров вы можете изменить перетаскивая их мышкой)

3. В меню "Настройка" проставить галочки где это необходимо.
o Большие иконки в списках приложений - для приложений отображаются большие иконки в списках.
o Всегда пропускать трафик на локальные адреса 127.0.0.1 и ::1 - разрешен локальный трафик без ограничений.
o Запрет модификации важных для функционирования Ф ключей реестра - защита ключей реестра: Ф, BFE, FltMgr.
o Контроль создания и обновления критических параметров служб и драйверов - защита параметров ImagePath и ServiceDll для всех служб и драйверов.
Если начата регистрация нового драйвера/службы то регистрация будет успешной лишь в том случае если значение параметра разрешено пользователем, при перезаписи
указанных параметров уже существующей службы результат операции будет зависить от того разрешено пользователем записываемое значение или нет.
(!) Блокировка изменения параметров работает лишь в случае если установлен флаг "Включить блокировку создания и обновления критических параметров служб и драйверов".
(!) При первой активации этой опции рекомендуется НЕ включать флаг "Включить блокировку создания и обновления критических параметров служб и драйверов",
(!) перезагрузить систему и выдать разрешения для проверенных параметров. В случае если вы настраиваете фаервол удаленно через uVS, то необходимо разрешить
(!) установку службы запуска uVS. Обратите внимание на имя службы, нужно использовать постоянное имя иначе вы потеряете возможность подключаться удаленно после
(!) активации блокировки.
(!) Эта опция предназначена прежде всего для контроля загрузки новых драйверов, поскольку включенный режим Test signing позволяет загружать самоподписанные драйвера.
o Включить блокировку создания и обновления критических параметров служб и драйверов.
Активирует блокировку, если флаг не установлен то изменение параметров будет разрешено ВНЕ ЗАВИСИМОСТИ от настроек для конкретного параметра.
o Блокировать отключение опции "Test Signing" - если эта функция включена то попытка отключения "Test Signing" не пройдет и после перезагрузки Ф продолжит работать.
o Включить контроль доступа к каталогам и защиту файлов фаервола - при включении этой опции F.sys, фильтр.dat станут недоступны любым процессам, включая систему.
Пользователь получит возможность отслеживать активность и управлять доступом к выбранным каталогам на уровне отдельных процессов.
o Включить информирование о внедрении потоков в процессы - если какой-то процесс внедрит поток в другой процесс то пользователь получит уведомление.
o Включить защиту от внедрения потоков в процессы - это экспериментальная функция, использующая недокументированные возможности системы.
Внедренный поток уничтожается на этапе его создания до выполнения кода.
о Включить защиту от техники Process Doppelganging - попытка создать процесс с использованием этой техники не пройдет, пользователь получит уведомление.
о Включить защиту от запуска svchost зловредами - запуск svchost произвольным процессом не пройдет, пользователь получит уведомление.
Svchost сможет запустить лишь ограниченный круг системных процессов.
о Максимальный размер лога - размер лога запросов на доступ в сеть и лога доступа к файлам.
Если размер к примеру указан 100Mb, то каждый из логов может расти с нуля до 100мб, далее старые записи начнут замещаться новыми.
Размер лога слабо влияет на производительность, но стоит помнить, что это невыгружаемая оперативная память и гигабайтный лог на машине с 4гб оперативной памяти
не очень хорошая идея. Максимально допустимое значение 1024Mb.

4. В файле F.ini можно задать имя шрифта для интерфейса (параметр FontName, потребуется перезапуск F.exe).
Размер шрифта можно выбрать в окне "Приложения с логом запросов".

5. Настройки кнопок мыши:
клик левой кнопкой мыши по иконке Ф открывает список событий,
дабл клик левой кнопкой открывает окно "Приложения и фильтры",
клик правой кнопкой открывает меню.
клик средней кнопкой открывает контроль каталогов.
(дабл клик правой кнопкой всегда открывает последний выбранный пункт меню)
Настройки кнопок хранятся в F.ini.

==> Доступ в сеть <==
Ф не проверяет наличие обновления и не требует доступа в сеть, за исключением функции проверки цифровых подписей, доступной по соответствующей кнопке, вы можете не давать F.exe
доступ в сеть, проверка эцп все равно будет доступна, однако в этом случае не гарантируется что эцп валидна, сертификат может быть отозван и эцп в реальности уже ничего не стоит.
(!) Не рекомендуется иметь в системе Hyper-V виртуальные свичи, траффик на них WFP не контролирует должным образом,
(!) что может быть признаком критической уязвимости и возможно может быть использовано для обхода любого фаервола.
(!) Windows Sandbox (Песочница Windows) использует именно такой свич.
(!) При правильной настройке Ф блокирует доступ песочницы в интернет, но если вы разрешели песочнице доступ в сеть путем ослабления
(!) контроля за svchost и system, то Ф уже не сможет фильтровать исходящий из песочницы трафик.
(!) Поэтому либо отключайте песочнице доступ в сеть в ее конфигурационном файле, либо используйте в качестве нее полноценную виртуальную машину,
(!) с установленным в нее Ф, тогда трафик из песочницы будет под полным контролем.

==> Доступ к каталогам <==
Если включен контроль каталогов и каталог с запущенным приложением полностью закрыт, то он закрыт и для F.exe, он не сможет считать иконку приложения, что будет отображено в логах.
Рекомендуется полностью закрыть доступ к каталогу с F.exe, разрешить доступ лишь csrss и explorer, что обеспечит возможность запуска F.exe.
Полный запрет доступа в каталог защищает приложения в нем от техники Process Hollowing.
(!) Не забудьте в настройках каталогах с приложением, которое должно из него запускаться, активировать опцию:
(!) "Разрешить полный доступ без лога любому приложению НЕ из списка доступа, запущенному из этого или вложенного в него каталога".
(!) В случае браузера по умолчанию, всем приложениям, которые смогут открывать ссылки в этом браузере необходим будет
(!) доступ на чтение в каталог браузера. Таким образом можно ограничить и список приложений имеющих право открывать ссылки в браузере.
(!) Рекомендуется именно ПОЛНОСТЬЮ закрывать доступ к каталогу и защищать как минимум каталоги браузеров,
(!) и других приложений имеющих неограниченный доступ в сеть.
(!) Ограничивайте доступ к важным каталогам с ценными данными это как минимум защитит их на случай заражения шифровальщиком.

==> Доступ к дискам <==
Прямой доступ к диску позволяет обходить любые запреты на чтение, если вам нужна почти абсолютная защита от утечки данных из закрытых каталогов, то рекомендуется ограничить
прямой доступ к дискам всем кроме отдельных системных приложений и специализированного софта (например моему badNTFS требуется полный доступ к логическому диску).
1. Доступ к файлам на диске - в этом случае в окне "Каталоги" нужно нажать кнопку "Добавить каталог" и выбрать корневой каталог нужного диска. (например: "Локальный диск (C:)")
2. Прямой доступ к содержимому логического диска - в этом случае нужно нажать кнопку "Добавить диск" и выбрать диск. (например: \\.\C:)
3. Прямой доступ к содержимому физического диска - в этом случае нужно нажать кнопку "Добавить диск" и выбрать физический диск. (например: \\.\\physicaldrive0)
(!) Не забудьте предварительно добавить разрешения для системных приложений, иначе возможны непредсказуемые проблемы.
(!) (chkdsk, system, registry, vssvc, dllhost, autochk, smss и т.д. все что попадут в лог диска после перезагрузки).
(!) Система при прямом доступе к диску изначально защищает от изменений содержимое системного диска, но это не касается остальных дисков, т.е. защита от модификации для
(!) них может быть преодолена с помощью прямого доступа, поэтому такие диски рекомендуется защищать от модификации (кроме съемных, защищать которые не имеет особого смысла).

==> Доступ к реестру <==
Все аналогично доступу к каталогам.
(!) Требуются некоторые знания о ключах реестра, без этого не стоит заходить в этот раздел.

==> Доступ к микрофонам/линейным входам и камерам <==
После активации соответствующего пункта в настройках доступ ко всем устройствам захвата аудио и вебкамерам будет блокирован.
При попытке приложения получить доступ к информации о микрофонах/камерах или попытки изменения их
существенных настроек вы получите уведомление.
В окне "Параметры процессов" можно выдать доступ к медиа устройствам для конкретных приложений.
(!) При разрешении доступа некоторые приложения нужно будет перезапустить, а правильно написанные приложения
(!) автоматически получат доступ к микрофонам и камерам.
(!) При запрещении доступа (ранее разрешенному приложению) или включении контроля доступа:
(!) 1. Если приложение получает данные с микрофона, то оно продолжит их получать до перезапуска или
(!) отключения активных микрофонов с помощью горячей клавиши (см. ниже).
(!) 2. Если приложение получает видео с камеры, то доступ к камере сохранится до ее отключения или
(!) перезапуска приложения.
(!) Системные процессы, которым необходимо выдать доступ к микрофонам:
(!) o audiodg.exe (не обязательно, возможно и есть побочные эффекты от запрета доступа, но я их пока не заметил)
(!) o rundll.exe (только для настройки микрофонов в устаревших системах, после настройки рекомендую запретить доступ)
(!) o svchost.exe (включите защиту от запуска svchost зловредами в настройках)
(!) Системные процессы которым необходимо выдать доступ к камерам:
(!) o svchost.exe (требуется для некоторых приложений работы с видео)

Горячая клавиша Cltr+Shift+M (по умолчанию).
Клавиша отключает ВСЕ активные микрофоны и линейные входы звуковых карт в системе.
(Именно отключает, а не активирует функцию mute).
Повторное нажатие включает деактивированныеранеемикрофоны.
Если приложение (в т.ч. и разрешенное) в этот момент получало данные с микрофона то аудиопоток будет прерван.
Отключение сохраняется при перезапуске системы. Ф помнит отключенные раннее микрофоны и только они будут включены
при повторном нажатии горячей клавиши.
Если микрофоны были выключены горячей клавишей то включение микрофонов будет заблокировано для всех процессов,
а при физическом подключении нового микрофона он подключится со статусом "Отключено" и не будет доступен
для получения аудиопотока до его включения.
Если микрофоны были снова включены горячей клавишей то ограничения на изменение
их статуса снимаются.

Рекомендуемый порядок использования горячей клавиши:
1. В панели управления включите только те микрофоны которые вы используете, остальные отключите.
2. Используйте горячую клавишу (вместо панели управления) для отключения и включения микрофонов.
(!) Горячая клавиша работает и с НЕактивным контролем доступа к микрофонам.
(!) Даже если контроль доступа активен, то доступ к микрофонам все же возможен на уровне оборудования,
(!) поэтому не забывайте про контроль загрузки драйверов.
(!) Если активен контроль доступа к микрофонам, то требуется разрешение на доступ к ним для svchost, иначе функция не будет работать.

==> Обновление версий <==
Если вы скачали новую версию Ф, то просто закройте интерфейсную часть и разверните архив поверх старых файлов с заменой содержимого, затем запустите _setup.exe для обновления.
Если _setup.exe предложит обновить драйвер то далее потребуется перезагрузка, если сразу предложит удалить драйвер то замена драйвера не требуется и вы можете закрыть setup
и просто запустить F.exe.

==> Известные проблемы <==
Windows Filtering Platform (WFP), которую используют все фаерволы для x64 систем, содержит серьезный глюк (как минимум для Windows 10). Изредка в callout функции передаются
неверные данные о процессе ответственном за сетевой трафик, поэтому в списке запросов на доступ вы можете заметить странности. К примеру случайный процесс вдруг пытается
"подключиться" к ctldl.windowsupdate.com, на самом деле инициатор подключения svchost, адреса могут быть произвольными как и PID процесса, включая уже давно завершившиеся
процессы. В обычных фаерволах, например в Comodo это приводит к существенным проблемам: спам окнами с левыми именами файлов/адресами и редкие, но значительные задержки с подключением
даже у пропущенных через фаервол приложений. В Ф эта несущественная проблема, поскольку Ф не выводит окна с запросом на подключение, а сразу отказывает в соединении,
а при повторной попытке соединения данные идут уже адекватные, хотя бывают случаи, когда такие левые данные WFP передает парами.

Поддержать развитие проекта:
Bitcoin: 1KXExkYavLMXbkPpo7H3DUWTgskwMuK6rW
Litecoin: LgxuDMdoXSYAKGAB8Hf8o4KTBpnXcSZvF1
 
Последнее редактирование:
Назад
Сверху Снизу