Witam serdecznie,
Zakupiłem właśnie nowy komputer i zainstalowałem na nim świeży system Windows 10. Zainstalowałem także jakiś firewall i on pokazuje mi teraz po kolei jakie aplikacje próbują połączyć się z internetem. A jest ich dość dużo:
SettingsSyncHost.exe
Smartscreen.exe
SeachUI.exe
LCore.exe (logitech gaming software)
backgroundtaskhost.exe
Speechruntime.exe
NVDisplay.container.exe (sterownik nvidii)
Systemsettings.exe
taskhost.exe
Zastanawiam się czy można dla nich wyłączyć nawiązywanie połączenia z internetem. Jak to się mówi “useless security risk”.
Jeżeli tak to bardzo bym was prosił o jakieś wskazówki bo podejrzewam, że trzeba coś w rejestrze zmieniać a to już wykracza poza moje możliwości.
(Wciąż chciałbym mieć możliwość ręcznego pobierania aktualizacji.)
Wszystkie wymienione przez ciebie wyżej usługi są bezpieczne. Jak nie chcesz mieć potem problemu z przyszłymi aktualizacjami W10 to lepiej nie drąż i zostaw tak jak jest.
Nie uważam żeby bycie ciągle podpiętym pod sieć na aż tylu płaszczyznach było konieczne. To jednak trochę tak jakby wszystko co się dzieje na moim komputerze było w kręgu zainteresowań każdego z producentów tych aplikacji. Wciąż chciałbym aby wyżej wymienione pliki exe robiły swoją robotę poza łączeniem się z siecią. Z możliwością ręcznego update Windows/Office. CHYBA da się to jakoś zrobić? Jeżeli nie uda się zrobić tego przez system to z pewnością zrobię to firewall ale to trochę bez sensu.
Podejrzewam, że żaden z tych programów bez dostępu do sieci nie będzie miał złego wpływu na działanie systemu. Bardzo łatwo to sprawdzić - wystarczy zablokować im sieć a w razie problemów przywrócić.
Tak już zrobiłem. Ale to jak budowanie tarczy zamiast rozbrojenia przeciwnika. Chciałbym aby te aplikacje nie próbowały w ogóle połączyć się z siecią. W późniejszym etapie taki Click-To-Run od MS Office będzie generował po kilka/kilkanaście tysięcy połączeń dziennie.
Z listy powyżej - procesowi nVidii możesz zablokować dostęp do netu. Podejrzewam, że na 99% to samo dotyczy softu Logitecha. Reszta to procesy MS - jeśli chcesz blokować np. telemetrię to tylko programami pokroju O&O ShutUp10 lub PrivateWin10 (ale jeśli nie rozumiesz ich opcji to lepiej daj sobie spokój).
Po co? W10 ma bardzo dobry firewall - jeśli nie ogarniasz jego konfiguracji to polecam nakładkę w rodzaju TinyWall.
Tak jak wspomniałem - wszystkie te dostępy blokuję póki co firewallem ale tak jak wspomniałem - wciąż widzę mnóstwo prób nawiązania połączenia i nie bardzo mi się to podoba.
Ok, przyjrzę się programom o których wspomniałeś. Poczytam trochę o nich i spróbuję zastosować. Następnie sprawdzę czy rzeczywiście aplikacje te sobie odpuszczą wysyłanie danych w świat.
Myślę, że z tym firewallem to głównie kwestia przyzwyczajenia. Jak pierwszy raz wprowadzili Defendera to opinie o nim były bardzo mierne i należało go omijać z daleka. Stosowałem więc inne narzędzie i przyzwyczaiłem się do jego interfejsu. Obecnie rzeczywiście opinie o Defenderze się znacznie poprawiły. Jak wygląda taka nakładka zapewne sprawdzę bardzo niedługo. Jednak jest to poza głównym tematem tego wątku.
Daj znać jak padnie ci system, albo coś w nim przestanie działać od takich zabaw i będziesz musiał format robić. Może to złośliwe, ale w 99% takie zabawy tak się kończą.
Właściwie jedynie co możesz z tych usług wyłączać (znaczy możesz wszystkie to twój komputer) to usługi Logitecha i Nvidii (o ile nie używasz urządzeń od tych producentów lub nie chcesz by się w tle aktualizowały). To są usługi które nie będą aktualizowane przy aktualizacjach z WU.
Jak to złośliwe to nie jest tutaj naprawdę potrzebne. Nigdy na tym forum nie wykazałem się złośliwością a już parę razy jej doświadczyłem.
BTW. Mam świadomość ryzyka jakie niesie za sobą ingerowanie w system. Nie boję się zrobić reinstalacji Windowsa jak coś popsuję. To akurat żaden problem.
Jeśli chcesz bardziej wiedzieć lub też mieć kontrole w systemie to nie siedź na koncie admina tylko zrób zwykłe konto gościa i na nim siedź wtedy aplikacje dobrze skonfigurowane bedą mieć ograniczenie do działania w pewnych zasobach systemu co też utrudni infekcje po części wirusom.
Po za kontrolom ruchu wychodzącego i przychodzącego można zainstalować jakiegoś HIPS’a
i wtedy będziesz miał bardziej interaktywną możliwość do kontrolowania tego co sie uruchamia w systemie w tle bez twojej wiedzy lub też gdzie chce ingerować.
Jeszcze inna opcja bardziej przyjazna niedoświadczonemu użytkownikom jest też praca w tak zwanych piaskownicach lub pełnych wirtualizacjach systemowych - (kiedy chcesz zjeść ciasteczko i mieć ciasteczko)
Ciekawym wyjście w tej sytuacji jest Sandboxie obecnie pełna wersja za darmo przeszła w OpenSource rozwijana za darmo przez pierwszego głównego twórce
Do pełnej wirtualizacji systemu można użyć darmowego Virtual boxa albo VMware Player.
Wersja VMware Worskation posiada jeszcze możliwosć tworzenia migawek i paru innych przydatnych rzeczy… ale migawi to można sobie samemu zrobić wystarczy skopiować ręcznie samemu obraz tego skonfigurowanego systemu do innego folderu
Jeżeli chcesz mieć dobry nadzór nad połączeniami, to musisz zrobić dwie rzeczy:
przede wszystkim nie czytaj bzdur, które wypisuje @sidkwa - gość nie ma zielonego pojęcia o działaniu sieci, a już na pewno nie wie, jak przebiega proces aktualizacji czegokolwiek w systemie Windows. Korzystając z jakichkolwiek jego porad marnujesz swój czas i ryzykujesz uwstecznienie własnego myślenia.
Zainstaluj oprogramowanie antywirusowe z zaporą w trybie interaktywnym. Za każdym razem, kiedy coś będzie chciało połączyć się z siecią, otrzymasz powiadomienie i będziesz mieć możliwość utworzenia reguły dla tego ruchu. Ustawisz czasową blokadę, dopuścisz ruch na stałe, albo zablokujesz całkowicie.
Przekonanie samego programu, żeby nie łączył się z siecią będzie trudne a nawet niemożliwe. Jest kilka opcji, o większości już było tu mówione. Postanowiłem zgromadzić w jednym wątku wszystkie mi znane i korzystając z okazji podzielić się swoimi obserwacjami.
Firewall Windows. Jak dla mnie wadą jest brak prostego interfejsu do dodawania/zarządzania bardzo dużą listą adresów IP.
Wpis w pliku C:\Windows\System32\drivers\etc\hosts blokujący domenę, np:
0.0.0.0 www.stats.net
Wada jest taka, że przy dużych bloklistach rzędu kilkudziesięciu tysięcy pozycji, start windowsowej usługi DNS jest bardzo wolny i ciągnie sporo zasobów. Każde wyczyszczenie pamięci cache DNS czy reset sieci to ponowne czekanie.
Zastosowanie serwera Proxy DNS Acrylic https://sourceforge.net/projects/acrylic/ który działa jako pośrednik DNS na podobnej zasadzie jak plik ‘hosts’ ale błyskawicznie obsługuje duże listy rzędu kilkudziesieciu tysięcy pozycji.
Skrypt generujący plik ‘hosts’ zgodnie z zadaną konfiguracją. Tutaj są również linki do fajnych list blokujących np ‘fakenews’, ‘gambling’, ‘malware’ czy interesujące ‘someonewhocares’. https://github.com/StevenBlack/hosts
Przy odrobinie wysiłku można ten skrypt spiąć z Proxy DNS Acrylic. Domyślnie korzysta z pliku ‘hosts’
Czy to ma sens? Na dziś dzień wg mnie coraz mniejszy sens ma blokowanie wszelakiej telemetrii, śledzenie każdego programu, który łączy się z siecią i zbiera jakieś informacje. Robi to praktycznie każde oprogramowanie i w pewnym sensie w takim gąszczu telemetrii uwaga skupia się na całości a nie na pojedynczej osobie.
Moim zdaniem warto mieć założone takie bloklisty jak ‘fakenews’, ‘gambling’ czy ‘malware’. Otrzymujemy wtedy potrafiące całkiem sprawnie działać uzupełnienie oprogramowania typu ‘web security’. Nigdy nie miałem problemów z aktualizacjami, a w czasach eksperymentów mój plik ‘hosts’ miał ponad 100.000 pozycji. Nigdy też nie udało mi się ‘uziemić’ systemu manipulując DNS’em. Ale może miałem szczęście Polecam rozsądne blokowanie, zwłaszcza nastawione na listy typu ‘malware’.
Dla kogo to? Raczej dla bardziej zaawansowanych użytkowników, którzy są w stanie zrozumieć, że np coś nie działa czy coś nie wyświetla się w programie bo blocklista odcięła temu czemuś dostęp.
Ok rozumiem. Faktycznie data ostatniej aktualizacji to 2017.
Program którego używam posiada HIPS. Ale tak naprawdę nie rozumiem do końca związku pomiędzy moimi potrzebami a tym rozwiązaniem. Ten HIPS sprawi, żę taki NVDisplay.container.exe przestanie łączyć się z internetem?
Dokładnie tak mam teraz ale wspomniałem wcześniej, że w ciągu jednego dnia sam Click2Run generuje kilka do kilkunastu tysięcy prób połączenia się z internetem. Dokładnie widać to w logach programu.
Nie wspomniałeś… w sumie prawie nikt nie wspomniał, że można cokolwiek zdziałać rejestrem. Faktycznie nie da się tam powyłączać niektórych usług systemowych odpowiedzialnych za łączenie się z Internetem?
Pozycja trzecia z Twojej listy zdaje się, że przenosi zabezpieczenie już poza mój komputer (na serwery DNS). W zasadzie to niemal to samo co blokowanie połączenia przy pomocy firewalla, czyż nie? Czyli nie do końca dobre rozwiązanie. Wczoraj wieczorem czyściłem log blokowanych połączeń z firewalla i do teraz jest ich ponad 20 000.
Ad. 2: A jak z tą bloklistą? Wpisanie tam paru adresów sprawi, że te połączenia nie dotrą nawet do firewalla? Załóżmy, że zablokuję wszystkie adresy z którymi łączy się NVDisplay.container.exe. Czy wtedy NVDisplay.container.exe przestanie zaprząc głowy mi i firewallowi?
Nie on jest do zatrzymywania uruchamianych procesów oraz blokady ingerencji z procesu w inny process.
I np dzięki temu możesz wychwycić inne usługi w tle które zbierają telemetrie, a o których nie wiedziałeś że istnieją lub też zablokować wirusa w 1 momencie próby ingerencji/infekcji systemu.
Przykład nie korzystasz z Edge a nagle widzisz że usiłuje sie uruchomić by połączyć sie z internetem w tle bez twojej zgody i blokujesz dziada tak samo z videoplayerem którego niby wykasowałem z panelu dodaj usuń a nadal jakiś proces ukryty w gąszczy plików usiłuje uruchomić sie, a następnie nawiązać połączenie. Jak go zablokujesz hipsem to sie nie uruchomi a jak sie nie uruchomi to nie nawiąże połączenia.
Nvidi nie możesz zablokować HIPS’en bo jednak jest to wymagany program/sterownik do obsługi gier i nie tylko.
Co do samej telemetri nvidi można użyć Autoruns narzędzia aby wykasować usługi szpiegujące
lub poleceniem które wyzwala ukryty deinstalator telemetri rundll32 “%PROGRAMFILES%\NVIDIA Corporation\Installer2\InstallerCore\NVI2.DLL”,UninstallPackage NvTelemetryContainer
Do blokady internetu dla wybranych procesów/aplikacji jest Zapora “Firewall” najlepiej w trybie blokuj automatycznie lub pytaj. Wtedy jak każdy program będzie musiał zostać przez ciebie ręcznie zaakceptowany inaczej nie uzyska dostępu do sieci/internetu jedyne słuszne wyjście choć na początku predefiniowanie listy aplikacji i gier które masz może być lekko irytujące ale jak już ustawisz wszystko to potem luzik.
Acrylic to program działający na Twoim komputerze. Zadaniem Proxy DNS Acrylic czy wpisywania domen do pliku ‘hosts’ jest zwrócenie błędnego adresu IP dla wskazanej domeny. Dzięki temu połączenie nawet nie opuści lokalnego komputera. Firewall nie będzie w związku z tym w ogóle zaangażowany. Można powiedzieć, że Acrylic/hosts to pewien rodzaj prymitywnego serwera DNS ale działającego na lokalnym komputerze.
W tym przypadku naszym błędnym adresem IP jest adres 0.0.0.0. Dlaczego taki? Ten adres nie jest w żaden sposób sprawdzany w Internecie.
0.0.0.0 to nierutowalny meta-adres używany do oznaczania nieprawidłowego, nieznanego lub niemającego zastosowania celu. Po prostu Windows gdy go widzi, błyskawicznie i bez żadnej analizy zwraca błąd.
Jakie są minusy blokowania domen w ten sposób?
Jeżeli program ma na sztywno zaszyty adres IP serwera, to tłumaczenie domena->adres IP nie zachodzi i taki program połączy się ze swoim serwerem w sieci.
Usługi są aktualizowane, domeny się zmieniają, nie ma gwarancji że raz ustawiona blokada będzie zawsze działać. Niestety nie można zablokować dostępu dla całego programu jak to można zrobić w Zaporze Windows.
brak jakiegokolwiek logowania domen w przypadku dopisania ich do pliku ‘hosts’ - Acrylic ma log, tzw HitLog.
Dodam, że ostatnio Windows Defender wszelkie ingerencje w pliku ‘hosts’ zgłasza jako podejrzane, ponieważ sporo wirusów dzięki plikowi ‘hosts’ przekierowuje znane domeny na podejrzane serwery.
