Как добавить порты и ip адреса в белый список

Внесение IP-адресов в белый список

Если нужно предоставить доступ из определенных мест, например филиалов, к Remote Desktop (удаленному рабочему столу) или поддерживаемым веб-приложениям, защищенным при помощи двухфакторной аутентификации (2FA) без необходимости ввода одноразового пароля (OTP), IP-адреса таких мест можно занести в белый список. Для этого откройте ESA Web Console и последовательно выберите Settings (Параметры) > IP Whitelisting (Белый список IP-адресов).

Установите флажок рядом с параметром Enable global IP whitelisting (Включить внесение IP-адресов в глобальный белый список), определите соответствующие IP-адреса (их можно также указать в формате IPv6, если это применимо), выберите службы для белого списка и нажмите кнопку Save (Сохранить).

Чтобы определить различные белые списки для определенных компонентов ESA на глобальном уровне, установите флажок рядом с параметром Enable per feature IP whitelisting (Включить внесение IP-адресов в белый список для компонента), выберите службы для белого списка, определите соответствующие IP-адреса (их можно также указать в формате IPv6, если это применимо), а затем щелкните Save (Сохранить).

Сервер ESA RADIUS считывает IP-адрес пользователя из первого непустого атрибута RADIUS, а именно:

Цель заключается в том, чтобы IP-адрес считывался ближайшим компонентом. В большинстве случаев это VPN-сервер.

Белый список с брандмауэром Windows

Если паранойя подсказывает, что вы недостаточно защищены, а под рукой имеются только бесплатные инструменты для безопасности, то нужно это чувство удовлетворить! Под катом будем создавать белый список программ для выхода в сеть с помощью стандартного брандмауэра Windows, в том числе и на PowerShell.

Введение

Большинство энкодеров, троянов и других плохих вещей из мира киберугроз для своих темных делишек используют возможность выхода в сеть с устройства жертвы: получение ключа для шифрования файлов, отправка конфиденциальной информации и так далее. Антивирусные компании в борьбе с такими противниками натаскивают свои проактивные технологии, выпускают даже отдельные продукты для шифровальщиков, ну а для простых пользователей бесплатной защиты остается только более тонко настраивать свои рубежи самостоятельно. Со времен Vista встроенный в Windows брандмауэр стал неплох, но большую часть времени простаивает без дела, отбивая лишь неписаные входящие соединения в лучшем случае. Не все знают, но он умеет чуточку больше — фильтровать и исходящие соединения, стоит лишь только включить этот режим и правильно настроить.

Итак, приступим

Первым делом необходимо запретить все исходящие соединения (входящие, считаем, уже запрещены — нужное ПО само, как правило, прописывает для себя исключения). Для этого идем в Панель управления -> Система и безопасность -> Брандмауэр Windows -> Дополнительные параметры. Далее выбираем «Брандмауэр Windows в режиме повышенной безопасности» и через правую кнопку мыши открываем Свойства. В зависимости от вашего сетевого профиля (частный — локальная сеть с маршрутизатором, общий — напрямую в интернет, домен — доменная сеть) выбирается вкладка профиля и для исходящих соединений выбирается режим «Блокировать» (я настраивал для всех профилей одинаково).

Скриншоты

На данный момент никакая программа выйти в сеть не может (кроме уже имеющих правила). Легко это проверить, открыв браузер с любым сайтом — наверняка получим ошибку сети. Чтобы загрузить страницу необходимо создать соответствующее правило. Рассмотрим Internet Explorer — имеется у всех на Windows. Нажимаем правой кнопкой на «Правила для исходящего подключения» -> Создать правило. Открывается окно с 4-мя типами правил, для IE подойдет первый — «Для программы». Далее нужно указать путь к программе — в нашем случае — C:\Program Files\Internet Explorer\iexplore.exe . Не забываем, что обладатели 64-битных систем должны создать еще одно такое же правило, только для Program Files (x86) (там IE тоже установлен). После выбора файла необходимо выбрать пункт «Разрешить подключение», далее отметить галками нужные сетевые профили. Осталось только придумать название для нашего правила. Рекомендую все правила писать с одного и того же слова/символа, потом искать будет удобнее. Созданное правило будет отображаться в общем списке.

Скриншоты

Для программ правила делать научились, а что со службами? Пусть необходимо добавить в исключения службу Mozilla Maintenance Service. Создаем новое правило, выбираем тип «Настраиваемое». Далее нажимаем «Настроить», выбираем «Применять к службе» и ищем в списке нужную службу или чуть ниже вводим название службы вручную. Затем предлагается настроить протокол и порты, но в данном случае их можно оставить по умолчанию — программа доверенная и шут ее знает, чем она там пользуется при доставке и установке обновлений. IP-адреса аналогично не трогаем. Далее разрешаем подключение, выбираем профили и задаем название для правила.

Скриншоты

Казалось бы, основные моменты пройдены, что теперь? А теперь подводные камни. Если кто-нибудь использует в своей деятельности программу удаленного управления TeamViewer, которая ставит с собой службу, то вроде бы достаточно найти в списке службу и добавить правило для нее. Но это не сработает. Необходимо вместо службы добавлять правило «Для программы» и выбирать исполняемый файл службы C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe (путь для 64-битной системы). Это частая ситуация, поэтому не спешите добавлять службы, начинайте с exe. Кроме этого в нашей системе перестанет работать ping. Для него необходимо добавить правило по типу «Настраиваемое», все оставлять по умолчанию, только протокол выбрать ICMPv4 и внизу нажать «Настроить», где поставить галочку только рядом с «Эхо-запрос». Теперь ping и tracert будут работать. Для IPv6 повторить, но уже с протоколом ICMPv6. Если правило уже создано, но необходимо что-то в нем изменить, это легко можно сделать, выбрав нужное правило в списке и зайдя в его свойства. На вкладках можно все настроить на любой вкус — привязать службу к определенному exe, ограничить программу в портах и т.д.

Скриншот

Свойства уже созданного правила для ping

Обновив систему с Windows 8.1 до Windows 10, я не мог создать работоспособное правило для OneDrive. Вроде бы простое правило для %USERPROFILE%\AppData\Local\Microsoft\OneDrive\OneDrive.exe и все должно работать. Но, потратив несколько месяцев, я пришел к тому, что, оказывается, надо было прописывать прямой путь C:\Users\ProfileName\AppData\Local\Microsoft\OneDrive\OneDrive.exe , хотя в предыдущих ОС того же семейства все благополучно работало и с первым вариантом (загадка?).

Накопленный опыт и PowerShell

Список правил, накопленный за N-ое время, я представлю в виде команд для PowerShell — легче автоматизировать. Чтобы можно было запустить в PowerShell скрипт на исполнение, необходимо дать на это разрешение для неподписанных скриптов в системе (для параноиков можно потом вернуть на место):

Set-ExecutionPolicy Unrestricted Set-ExecutionPolicy Default # Отмена 

Блокировка всех исходящих соединений брандмауэром выглядит так:

Set-NetFirewallProfile -All -DefaultOutboundAction Block 

Команда для добавления правила для всех профилей и исходящего направления для explorer.exe — обновление плиток на Windows 8.1. Полагаю, что и на 10-ке используется:

New-NetFirewallRule -Program 'C:\Windows\explorer.exe' -Action Allow -Profile Any -DisplayName 'Доступ для explorer.exe' -Direction Outbound 

Пусть у нас первая ячейка содержит название правила, а вторая ячейка хранит путь до программы. И у нас будет N таких двухячеечных строк — сколько штук правил. Все это будем хранить в $programs . Начнем с простого: Internet Explorer, Google Chrome, Tor Browser, Yandex.Browser, Notepad++, Visual Studio 2015, qBittorrent, HWMonitor, OneDrive, PowerShell, PowerShell ISE, Steam, CS GO, TeamViewer и так далее — все более-менее простые приложения, которым для выхода в сеть нужен доступ из 1-2 файлов exe.

Заполнение таблицы $programs

# $env - системные переменные %USERPROFILE%, %SystemRoot% и т.д. $programs = ('Доступ для Internet Explorer (x86)', ($+'\Internet Explorer\iexplore.exe')), ('Доступ для Internet Explorer', ($env:ProgramFiles+'\Internet Explorer\iexplore.exe')), ('Доступ для Google Chrome', ($+'\Google\Chrome\Application\chrome.exe')), ('Доступ для Google Update', ($+'\Google\Update\GoogleUpdate.exe')), ('Доступ для Tor Browser', ($env:USERPROFILE+'\AppData\Local\Tor Browser\Browser\firefox.exe')), ('Доступ для Tor Browser updater', ($env:USERPROFILE+'\AppData\Local\Tor Browser\Browser\updater.exe')), ('Доступ для Yandex.Browser', ($env:USERPROFILE+'\AppData\Local\Yandex\YandexBrowser\Application\browser.exe')), ('Доступ для Notepad++ (GUP)', ($+'\Notepad++\updater\GUP.exe')), ('Доступ для Visual Studio 2015', ($+'\Microsoft Visual Studio 14.0\Common7\IDE\devenv.exe')), ('Доступ для Blend (Visual Studio)', ($+'\Microsoft Visual Studio 14.0\Common7\IDE\Blend.exe')), ('Доступ для qBittorrent', ($+'\qBittorrent\qbittorrent.exe')), ('Доступ для HWMonitor', ($env:ProgramFiles+'\CPUID\HWMonitor\HWMonitor.exe')), ('Доступ для OneDrive', ($env:USERPROFILE+'\AppData\Local\Microsoft\OneDrive\OneDrive.exe')), ('Доступ для PowerShell (выключить для безопасности)', ($env:SystemRoot+'\System32\WindowsPowerShell\v1.0\powershell.exe')), ('Доступ для PowerShell ISE (выключить для безопасности)', ($env:SystemRoot+'\System32\WindowsPowerShell\v1.0\powershell_ise.exe')), ('Доступ для Steam', ($+'\Steam\Steam.exe')), ('Доступ для steamwebhelper', ($+'\Steam\bin\steamwebhelper.exe')), ('Доступ для Steam CS GO', ('D:\Games\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe')), ('Доступ для TeamViewer', ($+'\TeamViewer\TeamViewer.exe')), ('Доступ для TeamViewer_Service', ($+'\TeamViewer\TeamViewer_Service.exe')) 

Также в табличку можно при желании добавить хитрый Avast (ему еще нужна служба) и Firefox (+служба).

Добавляем в $programs

 ('Доступ для AvastUI+', ($env:ProgramFiles+'\AVAST Software\Avast\AvastUI.exe')), ('Доступ для AvastSvc', ($env:ProgramFiles+'\AVAST Software\Avast\AvastSvc.exe')), ('Доступ для Avast планировщик (AvastEmUpdate)', ($env:ProgramFiles+'\AVAST Software\Avast\AvastEmUpdate.exe')), ('Доступ для Avast обновления (instup)', ($env:ProgramFiles+'\AVAST Software\Avast\setup\instup.exe')), ('Доступ для Mozilla Firefox', ($+'\Mozilla Firefox\firefox.exe')) 

Все строки таблицы будем обрабатывать поштучно следующим образом:

foreach($prog in $programs) < try < New-NetFirewallRule -Program $prog[1] -Action Allow -Profile Any -DisplayName $prog[0] -Direction Outbound Write-Host 'Успех: '$prog[0] >catch < Write-Host 'Ошибка: '$prog[0] >Write-Host > 

Кроме этого необходимо разобраться с нестандартными правилами и службами. Например, центр обновления работает через svchost.exe по протоколу TCP через порты 80 и 443. А магазин приложений использует для обновления отдельную службу WSService. Помимо этого не забываем про пинг и службы для нужных приложений:

try < $i = 'Доступ для Windows Update/Modern Apps' New-NetFirewallRule -Program ($env:SystemRoot+'\System32\svchost.exe') -Protocol TCP -RemotePort 80, 443 -Action Allow -Profile Any -DisplayName $i -Direction Outbound $i = 'Доступ для Avast (служба)' New-NetFirewallRule -Service 'avast! Antivirus' -Action Allow -Profile Any -DisplayName $i -Direction Outbound $i = 'Доступ для Mozilla Maintenance Service' New-NetFirewallRule -Service 'MozillaMaintenance' -Action Allow -Profile Any -DisplayName $i -Direction Outbound $i = 'Доступ для ping (v4)' New-NetFirewallRule -Profile Any -Action Allow -DisplayName $i -Protocol ICMPv4 -IcmpType 8 -Direction Outbound $i = 'Доступ для ping (v6)' New-NetFirewallRule -Profile Any -Action Allow -DisplayName $i -Protocol ICMPv6 -IcmpType 8 -Direction Outbound $i = 'Доступ для Службы Магазина Windows' New-NetFirewallRule -Service 'WSService' -Action Allow -Profile Any -DisplayName $i -Direction Outbound # На редкие исключения, когда огненную стену надо приопустить (при установке программ, например) $i = 'Доступ для Частного профиля (выключить)' New-NetFirewallRule -Enabled False -Action Allow -Profile Private -DisplayName $i -Direction Outbound Write-Host 'Успех при применении особых правил' >catch < Write-Host 'Ошибка при применении особых правил на шаге:' $i >Write-Host 

Вот и, пожалуй, все. На этом повествование можно заканчивать. Передаю инициативу теперь в ваши руки, дерзайте! Надеюсь, Вы узнали что-то новое или хотя бы вспомнили хорошо забытое старое. Итоговый скрипт (.ps1) можно обнаружить под спойлером ниже.

Итоговый скрипт

Set-NetFirewallProfile -All -DefaultOutboundAction Block $programs = ('Доступ для Internet Explorer (x86)', ($+'\Internet Explorer\iexplore.exe')), ('Доступ для Internet Explorer', ($env:ProgramFiles+'\Internet Explorer\iexplore.exe')), ('Доступ для Google Chrome', ($+'\Google\Chrome\Application\chrome.exe')), ('Доступ для Google Update', ($+'\Google\Update\GoogleUpdate.exe')), ('Доступ для Tor Browser', ($env:USERPROFILE+'\AppData\Local\Tor Browser\Browser\firefox.exe')), ('Доступ для Tor Browser updater', ($env:USERPROFILE+'\AppData\Local\Tor Browser\Browser\updater.exe')), ('Доступ для Yandex.Browser', ($env:USERPROFILE+'\AppData\Local\Yandex\YandexBrowser\Application\browser.exe')), ('Доступ для Notepad++ (GUP)', ($+'\Notepad++\updater\GUP.exe')), ('Доступ для Visual Studio 2015', ($+'\Microsoft Visual Studio 14.0\Common7\IDE\devenv.exe')), ('Доступ для Blend (Visual Studio)', ($+'\Microsoft Visual Studio 14.0\Common7\IDE\Blend.exe')), ('Доступ для qBittorrent', ($+'\qBittorrent\qbittorrent.exe')), ('Доступ для HWMonitor', ($env:ProgramFiles+'\CPUID\HWMonitor\HWMonitor.exe')), ('Доступ для OneDrive', ($env:USERPROFILE+'\AppData\Local\Microsoft\OneDrive\OneDrive.exe')), ('Доступ для PowerShell (выключить для безопасности)', ($env:SystemRoot+'\System32\WindowsPowerShell\v1.0\powershell.exe')), ('Доступ для PowerShell ISE (выключить для безопасности)', ($env:SystemRoot+'\System32\WindowsPowerShell\v1.0\powershell_ise.exe')), ('Доступ для Steam', ($+'\Steam\Steam.exe')), ('Доступ для steamwebhelper', ($+'\Steam\bin\steamwebhelper.exe')), ('Доступ для Steam CS GO', ('D:\Games\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe')), ('Доступ для TeamViewer', ($+'\TeamViewer\TeamViewer.exe')), ('Доступ для TeamViewer_Service', ($+'\TeamViewer\TeamViewer_Service.exe')), ('Доступ для explorer.exe', ($env:SystemRoot+'\explorer.exe')), ('Доступ для AvastUI+', ($env:ProgramFiles+'\AVAST Software\Avast\AvastUI.exe')), ('Доступ для AvastSvc', ($env:ProgramFiles+'\AVAST Software\Avast\AvastSvc.exe')), ('Доступ для Avast планировщик (AvastEmUpdate)', ($env:ProgramFiles+'\AVAST Software\Avast\AvastEmUpdate.exe')), ('Доступ для Avast обновления (instup)', ($env:ProgramFiles+'\AVAST Software\Avast\setup\instup.exe')), ('Доступ для Mozilla Firefox', ($+'\Mozilla Firefox\firefox.exe')) foreach($prog in $programs) < try < New-NetFirewallRule -Program $prog[1] -Action Allow -Profile Any -DisplayName $prog[0] -Direction Outbound Write-Host 'Успех: '$prog[0] >catch < Write-Host 'Ошибка: '$prog[0] >Write-Host > try < $i = 'Доступ для Windows Update/Modern Apps' New-NetFirewallRule -Program ($env:SystemRoot+'\System32\svchost.exe') -Protocol TCP -RemotePort 80, 443 -Action Allow -Profile Any -DisplayName $i -Direction Outbound $i = 'Доступ для Avast (служба)' New-NetFirewallRule -Service 'avast! Antivirus' -Action Allow -Profile Any -DisplayName $i -Direction Outbound $i = 'Доступ для Mozilla Maintenance Service' New-NetFirewallRule -Service 'MozillaMaintenance' -Action Allow -Profile Any -DisplayName $i -Direction Outbound $i = 'Доступ для ping (v4)' New-NetFirewallRule -Profile Any -Action Allow -DisplayName $i -Protocol ICMPv4 -IcmpType 8 -Direction Outbound $i = 'Доступ для ping (v6)' New-NetFirewallRule -Profile Any -Action Allow -DisplayName $i -Protocol ICMPv6 -IcmpType 8 -Direction Outbound $i = 'Доступ для Службы Магазина Windows' New-NetFirewallRule -Service 'WSService' -Action Allow -Profile Any -DisplayName $i -Direction Outbound # На редкие исключения, когда огненную стену надо приопустить (при установке программ, например) $i = 'Доступ для Частного профиля (выключить)' New-NetFirewallRule -Enabled False -Action Allow -Profile Private -DisplayName $i -Direction Outbound Write-Host 'Успех при применении особых правил' >catch < Write-Host 'Ошибка при применении особых правил на шаге:' $i >Write-Host 

Как добавить сайт в белый список, чтобы всегда использовать файлы cookie в Chrome

Файлы cookie браузера всегда будут вызывать споры. С одной стороны, они позволяют отслеживать активность в Интернете, а с другой стороны, они также необходимы для правильной работы некоторых веб-сайтов. Они могут держать вас в системе на веб-сайтах, запоминать ваши предпочтения и выбирать местный контент.

Итак, что вы делаете — блокируете их или разрешаете? Ну, вы не должны придерживаться определенного выбора. Если вам не нравятся файлы cookie, вы все равно можете заблокировать их в другом месте, разрешив при этом на определенных веб-сайтах, которые вы часто используете.

Таким образом, если вы столкнулись с какими-либо проблемами функциональности на определенном веб-сайте, вы можете внести в белый список весь веб-сайт или даже поддомен, чтобы обеспечить его правильную работу без необходимости жертвовать конфиденциальностью.

Примечание. Пользователи Chromebook, использующие свое устройство в учебных целях, могут не иметь возможности изменить этот параметр без разрешения администратора.

Белый список веб-сайтов из настроек Chrome

Вы можете легко добавить веб-сайт или поддомен в белый список в настройках браузера Chrome на своем компьютере.

Откройте браузер Chrome на своем компьютере. Затем на главной странице Chrome щелкните меню «кебаб» (три вертикальные точки) в правом верхнем углу. В появившемся меню нажмите «Настройки», чтобы продолжить.

Затем нажмите на вкладку «Конфиденциальность и безопасность» в левом разделе, чтобы продолжить.

Затем в правом разделе нажмите «Файлы cookie и другие данные сайта», чтобы продолжить.

Теперь нажмите кнопку «Добавить» рядом с полем «Сайты, которые всегда могут использовать файлы cookie». Это откроет окно наложения.

После этого введите адрес веб-сайта, который вы хотите добавить в белый список.

Примечание. Существует два типа файлов cookie: собственные и сторонние. К основным файлам cookie относятся файлы cookie с сайта, который вы посещаете, тогда как сторонние файлы cookie создаются другими сайтами. Эти сайты обычно владеют некоторым контентом на веб-странице, на которой вы находитесь, например рекламой или изображениями.

Установите флажок перед параметром «Включить сторонние файлы cookie на этом сайте», если вы хотите также включить сторонние файлы cookie. В противном случае оставьте его неотмеченным. Затем нажмите кнопку «Добавить», чтобы добавить веб-сайт в белый список.

Вы также можете внести в белый список все поддомены определенного веб-сайта, добавив суффикс звездочки «*» к веб-адресу (как показано на снимке экрана ниже). Например, [*.]google.com будет охватывать адреса «calendar.google.com», а также «drive.google.com».

Вы также можете добавить веб-адрес, который не начинается с http://, или IP-адрес, чтобы внести веб-сайт в белый список.

Теперь, когда вы добавили веб-сайт в белый список, он будет использовать файлы cookie, даже если ваши глобальные настройки заблокируют их.

Внесение веб-сайта и его субдомена в белый список может помочь вам правильно загрузить его, если вы столкнулись с проблемой. Это гарантирует, что вы можете заблокировать файлы cookie в другом месте, чтобы не ставить под угрозу свою конфиденциальность, но по-прежнему использовать их на определенных веб-сайтах.

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка / 5. Количество оценок:

Оценок пока нет. Поставьте оценку первым.

Черные и белые списки

Добавление домена в глобальный черный список означает, что отправленные с этого домена письма не будут доставлены в почтовые ящики, которые размещены на вашем сервере. Почтовый сервер не пропустит письма, отправленные с любого адреса электронной почты, домен которого совпадает с одним из доменов в глобальном черном списке.

Чтобы добавить домен в глобальный черный список:

1. Перейдите в раздел Инструменты и настройки >Настройки почтового сервера (в разделе Почта).
2. Переключитесь на вкладку Черный список.
3. Нажмите Добавить домен.
4. Введите имя домена, с которого вы не хотите получать почту. Например, evilspammers.net.
5. Нажмите OK.
6. Повторите шаги с 3 по 5, чтобы указать нужное количество доменов.

Добавление IP-адреса или подсети в глобальный белый список позволяет любому компьютеру, IP-адрес которого находится в белом списке, ретранслировать почту через почтовый сервер Plesk без SMTP-аутентификации. В частности, это означает, что любой такой компьютер может отправлять письма на любой почтовый ящик, который размещен на вашем сервере.

Обратите внимание: письма, отправленные с IP-адресов из белого списка, автоматически принимаются на доставку почтовым сервером Plesk и не подвергаются проверкам DNSBL, но другие антиспам-сервисы могут пометить эти письма как спам или заблокировать их доставку. Добавление IP-адреса в белый список не означает, что адресат получит отправленное с этого адреса письмо.

Чтобы добавить домен в глобальный белый список:

1. Перейдите в раздел Инструменты и настройки >Настройки почтового сервера (в разделе Почта).
2. Переключитесь на вкладку Белый список.
3. Нажмите Добавить сеть.
4. Укажите IP-адрес или диапазон IP-адресов, с которых всегда следует принимать почту.
5. Нажмите OK.
6. Повторите шаги с 3 по 5, чтобы указать нужное количество адресов.