某些 Windows 更新包会定期默默地重新启用防火墙规则(包括入站和出站),有没有办法永久禁用规则或从 Windows 更新中删除更改防火墙规则的权限?
(删除规则没有任何作用,Windows 更新将重新创建它们)
不断重新启用的“无聊”规则的示例:Windows 阅读列表、MSN 体育、Solitaire Collection、获取 Office 等。
这是针对半公共网络上的 Windows 10 机器的,AllJoyn、投射服务器或各种 XBox 端口永远只会成为安全负担。
答案1
(这个帖子在搜索引擎中排名很高,但却忽略了一个非常好的解决方案。这有点像一篇死帖,但有人可能会觉得它很有用)。
避免像平常一样使用 Windows 防火墙,因为添加新规则太容易了。这被称为“本地防火墙”,对于阻止应用程序遥测、DRM 和其他垃圾来说实际上毫无用处,因为正如您所见,程序很容易允许它。
而是使用组策略中的 Windows 防火墙。以管理员身份运行“gpedit”,然后导航至Windows 设置 > 安全设置 > 高级安全 Windows Defender 防火墙。
这看起来与普通防火墙相同(只是嵌入在组策略工具中),但无法通过脚本进行更改。此时,请仔细检查所有选项并设置您的首选项。
最重要的部分是对于每个配置文件,单击设置并禁用本地防火墙规则在里面规则合并部分。这些规则不可信,因此您不希望它们出现在那里。
我个人会完全禁用“本地防火墙”,只使用组策略防火墙。管理这两者很棘手,因为坦率地说,这是一个巨大的混乱。令人恼火的是,第三方防火墙也好不到哪里去。但请注意,我始终建议在任何重要的事情上使用专用的 Linux 或 BSD 防火墙设备。它们提供适当的有序规则和状态防火墙等。
答案2
TL;DR:无法阻止具有管理员访问权限的程序更改防火墙规则。Windows 防火墙控制是一个程序,它将通过使用安全规则功能自动删除或禁用您未批准的 Windows 防火墙规则。
问题在于,任何以管理员权限运行的程序都可以悄悄更改 Windows 防火墙规则。Firefox、Chrome 和许多其他浏览器都加入了 Windows Update,它们认为自己有权确保自己可以在未经您许可的情况下发送和接收网络流量。
我发现最好的解决方案是使用Windows 防火墙控制(WFC)被 Malwarebytes 收购截至 2018 年。虽然有许多其他产品在 Windows 防火墙之上提供了更好的界面,但这是我发现的唯一一款可以解决您提出的问题的产品。它具有称为“安全规则”的功能,该功能将自动禁用任何未由特定授权组创建的规则。我有它,所以只有 Windows 防火墙控制才允许创建规则。根据用户指南,它的工作方式是,当新规则创建时,Windows 防火墙控制会收到通知,如果它们不在正确的组中,它将禁用它们。
Chrome 更新时会尝试添加规则。规则已创建但会自动禁用,但 WFC 会禁用。
其他几点说明:
- WFC 是免费的,但不是开源的。我个人很乐意为它付费(就像我尝试过许多竞争产品一样),但希望它能继续发展
- 我个人非常喜欢它在新程序首次尝试访问网络时提示我的方式,但我可以想象这会像任何类似产品一样令人讨厌。它有必要的学习模式,但你需要具备一定程度的网络知识才能进行设置
- 由于它位于 Windows 防火墙之上,因此可以验证它是否会阻止自己访问互联网,这正是你想要的
- 我从未注意到任何性能问题
答案3
除了@Karsten Pedersen 的回答之外:
您实际上可以将本地防火墙中的当前规则导出到文件中,然后将其导入策略防火墙:-)
答案4
在组策略中设置防火墙规则。它们将在功能更新之间保留: 如何使用 GPO 打开 Windows 防火墙中的端口?
我在这个区域下看到了它们:计算机配置 -> 管理模板 -> 网络 -> 网络连接 -> Windows 防火墙 -> 域配置文件。现在有专门用于 icmp(ping)和远程桌面的。