我正在运行全新的 Windows 11 安装。据我所知,为了确保安全,默认情况下需要防火墙来阻止外部连接并防止恶意软件从外部进入并发送/下载数据。
因此,我做的第一件事就是安装 Google Chrome,然后运行它,然后轰隆隆:默认情况下,它可以完全连接到网络,而防火墙不会阻止它。 Steam:完全一样,没有任何阻止。我猜默认情况下任何软件都会发生这种情况。
我可能遗漏了一些东西,所以如果我错了,请纠正我,但在默认配置下它似乎和没有一样好。我的问题是:如何配置 Windows 防火墙,以便对每个单独的进程进行硬阻止,除非它被列入白名单?
答案1
Windows 防火墙的默认配置仅默认阻止传入流量。
要同时阻止传出流量,只需将默认设置从 更改为Allow (default)。Block确保将其应用于您需要的所有网络配置文件(域、私有、公共)。请注意,您必须为要允许访问网络的每个程序/端口/IP 添加一条规则(已启用的默认允许规则除外)!
默认设置是否合理尚有争议,但这是 Microsoft 在安全性和用户友好性之间做出的妥协:访问网络不受限制(例如浏览网页或一般的客户端应用程序),而通过网络访问则受到限制(例如一般的 RPD 或服务器应用程序)。因此,在某种程度上,您最初的假设“防止恶意软件从外部进入并发送/下载数据”(如果从外部进入是指访问网络)是不正确的,因此它并非毫无用处。
答案2
想象一下,普通用户打开全新的 Windows。他们登录,打开 Edge,然后收到防火墙阻止它的警告。他们必须批准连接。这样他们就可以进入 Bing 主页。
然后他们打开一个新标签页来访问 Steam。这也被阻止了,他们需要批准连接。这只是打开标签页。然后他们连接到 Steam 并下载客户端。
他们下载了 Steam 安装程序,但需要批准连接才能下载安装程序的其余部分。
然后,在他们安装客户端后,他们需要批准与 Steam 商店的连接(这是与安装程序不同的二进制文件)。
等等,对于每个二进制文件都是如此。顺便说一句,Windows 防火墙几年前也这样做过。作为回应,人们曾经完全关闭防火墙。
对本地二进制文件实施网络控制是控制错误的行为。相反,应该控制二进制文件环境。
防火墙关注网络级威胁,主要是传入连接。
如果你想添加针对恶意软件的网络级保护,那么 Windows 防火墙仍然不是你最好的选择。您可能希望查看 IPS 或可以分析流量是否存在异常然后做出决定的程序。Windows 防火墙对于该级别的分析来说太简单了。