私は、FirefoxとChromeがWindowsファイアウォールで一方的な着信トラフィック用のポートを開いていることに気付きました。これは、Windows 7 x64とWindows 10で発生しました(ここで、一部のサードパーティ製品ではなく、最新のWindowsバージョン)。
通常、プログラムがファイアウォールの構成を変更しようとすると、そのアクションを許可するかどうかを確認する通知(ダイアログボックス)がデスクトップに表示されます。しかし、FirefoxとChromeでは、状況が異なります。
私は定期的にFirefoxのすべてのルールとChromeを削除します。ただし、それらのブラウザーが(頻繁に)自分自身を更新するたびに、それらのルールを再作成しますなし通常の確認ダイアログが表示されます。
これがどのようにして可能になるのか私にはわかりません。私は現在、ルールがFirefoxまたはChrome自体ではなく、おそらく管理者権限でバックグラウンドで実行されているメンテナンス(更新)サービスによって再作成されていると思います。
私は、Firefoxがファイアウォールにルールを追加して、一方的な着信トラフィックがそれ自体に渡ることを許可したくないTCP and UDPの任意のアドレスから任意のポートへ)_。同様に、 Chromeファイアウォールにルールを追加して、一方的な着信UDPトラフィックが特定のポートにそれ自体を通過できるようにするだけでなく、任意のアドレスからを追加します。大きなセキュリティを検討していますブラウザの多くのセキュリティ脆弱性を考慮した違反。
したがって、質問:FirefoxとChromeおよびそれらのメンテナンス/更新サービスがWindowsファイアウォールにルールを静かに追加しないようにするにはどうすればよいですか?
ファイアウォールをグループポリシーで制御できることを確認しましたが、上記の問題が唯一の理由である場合、これは極端に思えます。私のクライアントはドメインの一部ではないので、クライアントごとにこれを行う必要があります。さらに、ブラウザーとそのメンテナンス/更新サービスがグループポリシーも回避できるかどうかはわかりません。
再現手順:
Firefoxをインストールする
Chromeをインストールする
Windowsファイアウォール管理用のGUIを開きます(「セキュリティが強化されたWindowsファイアウォール」)
左側で[受信の規則]を選択します
ルールのリストが右側に表示されます。名前が「Firefox」で始まる2つのルールと、名前が「Chrome」で始まる1つのルールに注意してください。
ルールの1つをダブルクリックすると、ダイアログボックスが表示され、ルールのプロパティ、開いているポート、そのトラフィックの受信を許可されているプログラムなどが詳細に表示されます
Firefoxの2つのルールはほぼ同じであることに注意してください。唯一の違いは、1つはTCP用で、もう1つはUDP用です。どちらも、要請されていないインバウンドトラフィック任意のアドレスから任意のポートへからFirefoxへのトラフィックを許可します。
Chrome=のルールにより、UPDトラフィック任意のアドレスからをポート5353からChromeに渡すことができます。
上記の3つのルールを削除する
Firefoxのアップデートが利用可能になるまで待ち、それをインストールします
更新をインストールすると、Firefoxの2つのルールが再作成されることに注意してください確認ダイアログは表示されません
Chrome更新が利用可能になり、インストールされるまで待ちます
Chrome=のルールは、アップデートのインストール時に再作成されることに注意してください確認ダイアログは表示されません
ヒント:テストするときは、左側の[受信の規則]を右クリックし、コンテキストメニューから[更新]を選択して、実際に更新されている規則を実際に確認する必要があることに注意してください。サービスまたはアプリケーションによってバックグラウンドで実行された可能性があります。
ヒント2:実際、これをテストする場合、次のFirefoxまたはChromeアップデートを待つ必要はありません。古いバージョンのブラウザを開き、上記のファイアウォールルールが作成されていることを確認してから、それらのルールを削除します。古いバージョンがインストールされているため、アップデートはすぐに利用できます。アップデートをインストールし、ファイアウォールルールがサイレントであることに注意してください_再作成。
1つのオプションは、ファイアウォールアクセスルールへの変更を防ぐためにWindowsアクセスコントロールを使用することです。最初にルールを無効(または単にそれを削除)に設定してから、ファイアウォールルールストレージのACLを変更した場合、ルールの再表示を回避できるはずです。管理者アカウントcouldは、変更されたACLを上書きまたはバイパスしますが、自動インストーラがそうしようとする可能性は非常に低いため、ファイアウォールを変更しようとすると、単に「アクセス拒否」されます。
良いニュースは、ファイアウォールルールが予測可能な場所HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
に保存されていることです。それらは、GUIDである名前を除いて、完全に人間が読み取り可能です。実際のルールはパイプで区切られた英語のテキストです(説明にパイプ文字を含むファイアウォールルールを作成するとどうなるのか不思議です)。
悪いニュースは、ルールが単一のキー(上記のキー)の値として格納され、レジストリACLがキーの細分性でのみ利用できることです。つまり、アカウントがそのキーへの書き込みアクセスを拒否すると、そのアカウントはanyファイアウォールルールを変更する機能を拒否されます。これにより、いくつかの点で機能が損なわれる可能性があります。極端な場合、ファイアウォールルールを自分で変更する前に、そのキーのACLを手動で変更する必要があります。
これを行う理想的な方法は、ブロックするアカウントのアクセス制御エントリを拒否することです。拒否エントリは、特定の特定性レベルの許可エントリよりも優先され(アカウントが許可され、アクションが拒否された場合、勝利を拒否します)、特定(アカウント)は、一般(グループ)よりも優先されます。したがって、Administratorsグループ全体をブロックするような厄介なことを行わずに、特定のアカウントの拒否エントリを追加してそのアカウントをブロックできます。残念ながら、私のマシンにインストールされている4つのMozillaまたはGoogle関連のサービス(MozillaMaintenance
、GoogleChromeElevationService
、gupdate
、およびgupdatem
)はすべて、 LocalSystem(別名SYSTEM)。そのキーへのSYSTEM書き込みアクセスをブロックすることは悲惨なことではないかもしれません-実際、システムが選択したレジストリキーへの書き込みをブロックすることは、管理者がグループポリシーを介してマシンに特定の変更を加えないようにする一般的な方法ですが、おそらくいくつかのことを壊します。通常のUACを介して昇格されるアクションをブロックする必要がある場合は、自分またはAdministratorsグループをブロックする必要があります。これは、SYSTEMをブロックするよりもさらに厄介です。
解決策は、マシン上に新しい管理レベルのサービスアカウントを作成し、そのアカウントを使用するようにGoogleおよびMozillaサービスを変更して、レジストリキーでその特定のアカウントをブロックすることです。これは簡単なことではありません。特に、サービスがSYSTEMであるという特別なアクセス許可に依存している場合、デフォルトではAdministratorアカウントでもすべてを取得できるわけではありません(もちろんこれは変更できます)。
また、ブラウザ(および必要に応じて手動で関連するサービス)を削除し、権限のないインストーラを使用してそれらを再インストールすることもできます。これにより、インストーラの爆発範囲がローカルアカウントに制限され、プロンプトなしで昇格することができなくなります。 Firefoxはポータブルインストールをサポートしており、Chrome実際にはデフォルトでユーザープロファイルへのインストールに使用されます(Program Filesディレクトリではありません)。ユーザーごとのインストールを使用するため、理論的には、インストーラーに管理者権限を与えないものです。管理者権限を持たないものは(UACプロンプトやEoP脆弱性なしで)管理者権限を取得する方法を作成できないため、ファイアウォールをサイレントに台無しにする機能はなく、おそらくそれらはありません。試してみてください(結局のところ、管理者なしでインストールされたプログラムは管理者なしで更新でき、管理者以外はファイアウォールを変更できません)。
コンピュータセキュリティの上限に達しました。ベストプラクティスでは、いわゆるtrustedプログラムに対して昇格された特権のみを許可するように求めています。しかし、一般的な使用方法では、OSとブラウザを信頼する必要があることは誰もが知っています(*)。あなたが直面している問題は、この製品の1つがあなたが好きではないことをするということです、ほとんど何もできません:昇格された特権を許可すると、システムは追加の保護を提供しません。
インストール手順が何であるかを推測するのは難しいので、ここでは本当に予防的な戦略を想像することはほとんどできません。また、Windowsシステムの変更を検出して理解できるとは誰も言えません。しかし、1つの問題が特定された場合、回避策がしばしば可能です。ここで私は想像できます:
どちらがより適切になるかは、実際のユースケースに大きく依存します...
ファイアウォールルールを黙って開かないように編集者に依頼するのが最善の方法ですが、このリクエストが成功する可能性は低いと思います。これらのルールには確かに十分な理由があります。それが回避策のみを検索した理由です。
ここでは、ブラウザが暫定的な規定で動作することを意味しているわけではありませんが、すべてのアップグレードにはそれらが必要です。また、セキュリティ上の理由から、古いソフトウェアは使用できません...