Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Windows firewall rules?

05-12-2015, 20:54 door ab2604, 13 reacties
Misschien een rare vraag... maar wat is het verschil tussen "block" of "disable" een firewall rule in de Windows 10 firewall? Ik gebruik het programmaatje Windows Firewall Control, en begrijp het verschil tussen beide opties niet.

Betekent disable ook direct dat een uitgaande verbinding geblokkeerd wordt? En wat gebeurt er als ik een geblokkeerde verbinding disable, wordt deze regel dan niet meer toegepast en is daarmee dan de blokkering feitelijk opgeheven?
Reacties (13)
05-12-2015, 22:40 door Anoniem
block - blokkeer verkeer (dit kan door een reject of een drop van het pakketje)

reject - stuur een antwoord terug dat het pakketje geweigerd is (vaak belangrijk ivm performance)

drop - spoel het pakketje door het afvoerputje zonder de afzender iets te laten weten (vooral gebruikt aan de publieke kant)

disable - de regel uitschakelen zonder hem te moeten verwijderen, hem dus al dan niet tijdelijk negeren

Bedenk dat Windows mogelijk ingebouwde allow regels heeft die niet zichtbaar voor systeembeheerders zijn. Ook kunnen sommige programma's zomaar de ruleset aanpassen (de Mozilla updater doet dit bijvoorbeeld)

Ook belangrijke services zoals DHCP (let op - broadcast adres) en DNS, Windows Update, etc, etc moet je goed configureren. Als je niet weet wat disable of block betekend, dan is de kans groot dat je systeem straks maanden geen updates meer ontvangt. Zorg dat je weet wat je doet.
06-12-2015, 12:29 door ab2604
Oke, dus wanneer ik een regel disable dan werkt die regel simpelweg niet meer?

Concreet: programma X is geblokkeerd in een actieve regel. Wanneer ik die regel disable dan wordt programma X niet meer geblokkeerd?
06-12-2015, 15:01 door Anoniem
Inderdaad , dat is juist.
06-12-2015, 15:41 door Anoniem
De free versie van Windows Firewall Control is vrijwel nutteloos. Te veel voorgekauwde niet te wijzigen instellingen. Net zo nutteloos als de ingebouwde Windows Firewall waarvoor het slechts een schil is. Nauwelijks of geen controle over uitgaande verbindingen.
Neem liever een echte firewall zoals Privatefirewall 7 of de Comodo Firewall. Die twee heb je wel iets aan. De rest in bagger.
06-12-2015, 16:17 door Anoniem
Door ab2604: Oke, dus wanneer ik een regel disable dan werkt die regel simpelweg niet meer?

Concreet: programma X is geblokkeerd in een actieve regel. Wanneer ik die regel disable dan wordt programma X niet meer geblokkeerd?

Inderdaad, Tenzij je globale policy op default-deny staat, dan wordt alles geblokkeerd, tenzij er een specifieke regel actief is om programma X toe te laten.

Uitgaand geld in Windows standaard een default-allow, maar dat kun je dus aanpassen.
06-12-2015, 16:29 door Rarsus
Niet perse. Wanneer je de regel disabled, werkt die regel niet meer.

De (windows) firewall is meestal als volgt ingericht:(buiten naar binnen) indien geen allow/block regel aanwezig, blokkeer maar alles (impliciet).

Outbound meestal standaard wel de regels aanwezig, maar de niet actief.
06-12-2015, 19:16 door Anoniem
Ok maar nu heb ik een programma waarvan ik niet wil dat het naar buiten communiceert maar dat het ook niet van buiten benaderd kan worden. Compleet geïsoleerd zeg maar.
Wat dan?
Is het antwoord dan "Blokkeren"? Of moet ik dan nog meer doen?
Het is al een ouder stukje software en heeft leuke mogelijkheden. De nieuwe versie niet meer. Ik wil dus het update risico in twee richtingen vermijden.
06-12-2015, 21:47 door mcb
Door Anoniem 19:16: Ok maar nu heb ik een programma waarvan ik niet wil dat het naar buiten communiceert maar dat het ook niet van buiten benaderd kan worden. Compleet geïsoleerd zeg maar.
Wat dan?
Is het antwoord dan "Blokkeren"? Of moet ik dan nog meer doen?
Een nieuwe blokkeerregel zou idd genoeg moeten zijn.

Zoals anoniem 15:41 al zei, kan je beter een 3rd party firewall nemen zoals Comodo.
Deze blokkeert (afhankelijk van de mode) al het inkomend en uitgaand verkeer, tenzij je er een allow rule voor aanmaakt.
Je kan customized rules aanmaken als je wilt. Veel beter in te stellen dan windows firewall.
07-12-2015, 08:30 door Anoniem
Betekent disable ook direct dat een uitgaande verbinding geblokkeerd wordt?

Nee, een disabled rule bestaat simpelweg niet, vanuit het oogpunt van je firewall. Hier doet deze niets mee.
07-12-2015, 16:22 door Anoniem
Door mcb:
Door Anoniem 19:16: Ok maar nu heb ik een programma waarvan ik niet wil dat het naar buiten communiceert maar dat het ook niet van buiten benaderd kan worden. Compleet geïsoleerd zeg maar.
Wat dan?
Is het antwoord dan "Blokkeren"? Of moet ik dan nog meer doen?
Een nieuwe blokkeerregel zou idd genoeg moeten zijn.

Zoals anoniem 15:41 al zei, kan je beter een 3rd party firewall nemen zoals Comodo.
Deze blokkeert (afhankelijk van de mode) al het inkomend en uitgaand verkeer, tenzij je er een allow rule voor aanmaakt.
Je kan customized rules aanmaken als je wilt. Veel beter in te stellen dan windows firewall.
Dank je wel!
07-12-2015, 18:01 door Anoniem
Ik denk niet dat ik hier op het juiste adres zit maar misschien dat iemand het op de juiste plek wil zetten.

Er is vandaag een update van W10 uitgebracht.

Daarmee is ook de virusscanner van Bitdefender van de schijf verdwenen/ onbruikbaar gemaakt.

Het is maar dat jullie het weten!
08-12-2015, 06:32 door Anoniem
Staan dit soort dingen niet gewoon in de windows handleiding/microsoft website of bestaat die tegenwoordig alleen nog uit een eula ?
09-12-2015, 10:50 door ab2604 - Bijgewerkt: 09-12-2015, 10:51
Bedankt allemaal voor de hulp en tips. Voor de duidelijkheid: ik heb de "betaalde" versie (d.w.z. éénmalige donatie van € 10,00 voor een onbeperkte lifetime licentie) van Windows Firewall Control. Deze versie geeft dus wel waarschuwingen wanneer er een applicatie een uitgaande verbinding wil opzetten.

Nog even terug naar mijn vraag over firewall regels met de status "disabled". Ik heb een aardig rijtje disabled regels in mijn uitgaande regels en vraag mij af of ik deze dan niet beter kan activeren en eventueel blokkeren. Het gaat om de volgende applicaties:

- windows media player network sharing
- windows collaboration computer name registration service (svchost.exe)
- iSCSI service (svchost.exe)
- netwerk detecteren (svchost.exe)
- windows management instrumantation (svchost.exe)
- bestands- en printersindeling
- virtueel TPM-smartcard beheer
- homegroup uitgaand (svchost.exe)
- routering en RAS
- wireless portable devices
- media center extenders (svchost.exe)

Deze regels staan nu dus allemaal uitgeschakeld (disabled) en dus is uitgaande communicatie voor deze toegestaan. Is dit gebruikelijk in de windows firewall? Of kan ik beter helemaal geen disabled regels gebruiken, alles inschakelen en een aantal van deze regels toch beter blokkeren?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.