Самый простой файрвол для windows 10

На Windows 10 есть встроенный файрвол, однако пользоваться им не всегда удобно. Решением может стать установка защитного экрана от сторонних разработчиков. Можно найти как платные, так и бесплатные решения, которые фильтруют трафик и обеспечивают безопасность системы.

Comodo Firewall

Comodo Firewall — популярный брандмауэр, известный со времен Windows XP. Одна из главных его особенностей — режим Sandbox, при котором можно запускать любые приложения в виртуальной среде, оберегая систему от потенциального заражения. Comodo останавливает вирусы и вредоносные программы до того, как они попадают на компьютер. Система облачного анализа умеет определять угрозы нулевого дня (ранее неизвестные вирусы). 

Картинка с сайта: tehnichka.pro

Интерфейс Comodo Firewall

Плюсы

• Бесплатная лицензия и автоматическое обновление.
• Защита реестра и системных файлов.
• Режим обучения для обнаружения новых угроз.
• Возможность создать белый список для блокировки всех неизвестных подключений.
• Доступ к списку безопасных файлов и приложений.
• Игровой режим, отключающий уведомления во время игр.
• Мастер  безопасности, упрощающий настройку фильтрации.

Минусы

• При установке предлагает инсталлировать в нагрузку браузер от Comodo, а также подменяет стартовую страницу в браузере.

Стоимость

Сам файрвол можно использовать бесплатно без ограничений. Есть также режим Pro, который включает антивирус и оперативную онлайн-поддержку. Подписка на годовую лицензию для одного устройства стоит 17,99 долларов. 

Avast Premium Security

Компания Avast Software предлагает брандмауэр в составе антивирусного пакета Avast Premium Security. Файрвол блокирует входящие подключения и позволяет вручную составить список программ, которым разрешен доступ в интернет с вашего компьютера. Это гарантирует сохранность конфиденциальность данных, а также исключает использование устройства в качестве части преступного ботнета — сети, по которой распространяются программы-вымогатели.

Картинка с сайта: tehnichka.pro

Файрвол в Avast Premium Security

Плюсы

• Автоматическая установка обновлений.
• Игровой режим без оповещений.
• Сканирование роутеров на уязвимости.
• Проверка безопасности домашней и общедоступной сети Wi-Fi.
• Режим «песочницы» для запуска подозрительных приложений в изолированной среде. 
• Блокировка опасных сайтов и файлов.
• Защита от программ-вымогателей.

Минусы

• Несмотря на встроенный спам-фильтр, пропускает спам.
• Не лучшая защита от фишинга.
• Некоторые дополнительные модули приобретаются отдельно — например, программа для очистки системы или утилита для защиты от трекинга.

Стоимость

• Годовая лицензия на 1 устройство стоит 1490 рублей. В течение 30 дней можно пользоваться ей бесплатно.
• Годовая лицензия на 10 устройств (Windows, macOS, Android, iOS) стоит 1990 рублей.

AVG Internet Security

Файрвол от AVG тоже не распространяется сам по себе, а входит в состав антивирусного программного обеспечения AVG Internet Security. Он доступен в полной версии пакета. При установке бесплатного антивируса брандмауэра нет — только инструменты сканирования ПК и защиты от небезопасных ссылок и вложений. Брандмауэр предлагает стандартный набор функций, позволяющий защититься от несанкционированных подключений к компьютеру и ограничить доступ приложений в интернет.

Картинка с сайта: tehnichka.pro

Защита от злоумышленников в AVG Internet Security

Плюсы

• Защита от вирусов, вымогателей, шпионов, вредоносных программ.
• Блокировка небезопасных ссылок и вложений.
• Автоматическое обновление.
• Блокировка попыток слежки через веб-камеру.
• Защита от несанкционированных подключений.
• Тонкие настройки разрешений для приложений.
• Защита от фишинговых сайтов.

Минусы

• За некоторые функции антивирус просит деньги даже после установки полного пакета. Речь идёт об антитрекинге и увеличении производительности компьютера.
• Навязчивая реклама платных улучшений.

Стоимость

• Есть бесплатная пробная версия на 30 дней, которая позволяет проверить все возможности антивирусного ПО, в том числе брандмауэра.
• Подписка на 1 год стоит 1990 рублей. Лицензия позволяет защитить до 10 устройств на Windows, macOS, Android и iOS.

ZoneAlarm Free Firewall

ZoneAlarm Free Firewall — файрвол от ещё одного разработчика антивирусного ПО. Продукты ZoneAlarm не так известны, как Avast или AVG, но предоставляют сопоставимый уровень безопасности. Брандмауэр доступен для отдельной установки. Он отслеживает поведение компьютера и способен остановить даже сложные атаки, с которыми не справляются обычные антивирусы.

Картинка с сайта: tehnichka.pro

Интерфейс ZoneAlarm Free Firewall

Плюсы

• Мгновенное отключение вредоносных программ.
• Антифишинговое расширение для Google Chrome в комплекте.
• Проактивная защита от несанкционированного доступа.
• Запрет на отправку конфиденциальных данных с вашего компьютера, который помогает бороться с программами-шпионами. 
• Постоянная проверка системы и предупреждение пользователя о подозрительной активности.

Минусы

• При неосторожном обращении можно «убить» приложение, запретив ему запускаться. Чтобы этого избежать, приходится внимательно настраивать конфигурацию.
• Интерфейс не локализован на русский язык.

Стоимость

• Бесплатная версия с ограниченной функциональностью.
• У программы есть бесплатный пробный период на 30 дней, в течение которого можно проверить все её возможности.
• Стоимость лицензии зависит от количества устройств. Годовая подписка на 1 компьютер обойдётся в 14,95 долларов. Защита 10 устройств стоит 39,95 долларов, а 50 — 164,95 доллара.

GlassWire

GlassWire — монитор сетевой безопасности. Его главная особенность — отображение активности на графике. Это помогает быстро определять необычное поведение программ и принимать меры по их блокировке. Если новая служба или приложение подключается к сети, вы получаете уведомление. Это позволяет исключить возможность несанкционированного доступа. Если вы игнорируете предупреждение, соединение добавляется в список доверенных. В настройках можно выставить более строгую политику разрешений, тогда любое новое соединение будет блокироваться. Затем вы сами решаете, стоит ли добавлять его в список разрешённых. 

Картинка с сайта: tehnichka.pro

Через график удобно следить за активностью служб и программ

Плюсы

• Удобный для восприятия график сетевой активности, на котором бросаются в глаза подозрительные всплески.
• Оповещение обо всех необычных изменениях в работе системы.
• Контроль других компьютеров внутри сети и получение уведомлений о подключении к Wi-Fi новых устройств.

Минусы

• Большая часть полезных возможностей доступна только после оплаты лицензии.

Стоимость

• У GlassWire есть бесплатная версия, предоставляющая базовые возможности файрвола.
• Подписка на полную функциональность брандмауэра стоит от 39 долларов в год на одно устройство. Если нужно защитить до 3 компьютеров, за лицензию придётся отдать уже 69 долларов, до 10 устройств — 99 долларов в год. 

Outpost Firewall Pro

У Outpost Firewall Pro нет официального сайта, так как разработчики продали технологию Яндексу и прекратили поддержку продукта. Однако файрвол можно скачать бесплатно на торрентах. Несмотря на прекращение поддержки в 2015 году, он отлично справляется с блокировкой подозрительной сетевой активности. Однако использовать Outpost Firewall Pro стоит в связке с современным антивирусом, так как он не определяет новые угрозы.

Картинка с сайта: tehnichka.pro

Outpost Firewall Pro предоставляет очень много информации

Плюсы

• Огромный массив информации о каждой попытке соединения с интернетом: процесс, протокол, удаленный адрес, удаленный порт, объём полученного и отправленного трафика, IP-атакующего, событие, тип атаки и т.д.
• Регистрация и отражение всех известных типов атаки.
• Высокий уровень безопасности на стандартных настройках.
• Возможность создать собственную конфигурацию благодаря большому количеству доступных для изменения параметров.

Минусы

• Разработчики прекратили поддержку, программа не обновляется.
• При скачивании из неизвестных источников можно подхватить вирусы.

Стоимость

• Так как поддержка прекращена, платить за антивирус некому, а скачать его с торрентов можно бесплатно.

TinyWall

TinyWall — бесплатный файрвол с минимальным количеством настроек, который работает из системного трея. Он предлагает несколько режимов: обычную защиту с блокировкой подозрительных соединений, тотальную блокировку подключений, разрешение только исходящего трафика, отключение файрвола и автоматическое обучение для анализа трафика и формирования белого и чёрного списков.

Картинка с сайта: tehnichka.pro

Настройки TinyWall

Плюсы

• Абсолютно незаметная работа, в том числе с точки зрения нагрузки на систему.
• Совместимость со встроенным брандмауэром Windows.
• Защита от несанкционированных подключений.
• Списки приложений, трафик которых должен блокироваться.
• Автоматическое обучение для создания исключений.
• Открытый исходный код.

Минусы

• Нет системы предотвращения вторжений (HIPS).
• Для максимального уровня защиты требуется настройка, в идеале — создание «белого списка». В противном случае отдельные атаки не распознаются.

Стоимость

• Полностью бесплатная программа без рекламы, искусственных ограничений и навязчивых предложений получить дополнительные возможности при покупке лицензии.

SimpleWall

SimpleWall — ещё один пример открытого ПО, которое выполняет функции файрвола. Это очень простой и нетребовательный к ресурсам компьютера брандмауэр, который имеет все необходимые инструменты для управления входящим и исходящим трафиком. SimpleWall предлагает два режима фильтрации: по белому и чёрному списку. В первом случае доступ разрешен только доверенным приложениям, остальные спрашивают разрешения у администратора; во втором режиме доступ в интернет имеют все службы и приложения, кроме заблокированных администратором. 

Картинка с сайта: tehnichka.pro

Интерфейс SimpleWall

Плюсы

• Удобные режимы блокировки — можно сделать так, чтобы каждое приложение запрашивало разрешение на подключение к сети.
• Встроенные правила блокировки известных вредоносных и шпионских программ.
• Открытый исходный код.

Минусы

• Ограниченная функциональность по сравнению с платными файрволами.

Стоимость

• SimpleWall — бесплатная программа без рекламы и ограничений. Вы можете отблагодарить её создателя, задонатив через официальный сайт.

Какой файрвол выбрать?

Все перечисленные программы справляются с несанкционированными подключениями к компьютеру, позволяют блокировать доступ приложений в интернет и обнаруживать подозрительную активность внутри операционной системы. Поэтому при выборе в первую очередь рекомендуем обратить внимание на стоимость и функциональность. Например, если вам не нужен антивирус, то нет смысла брать Avast Premium Security или AVG Internet Security. Обратная ситуация — если вы хотите ещё и антивирус, то такие комплексные системы помогут сэкономить на лицензии. 

Сводная таблица

Post Views: 9 705

Уровень сложностиСложный

Время на прочтение33 мин

Количество просмотров125K

Картинка с сайта: habr.com

Windows 10 очень любит Интернет. Обновления, синхронизации, телеметрия и ещё куча разной другой очень нужной ЕЙ информации постоянно гуляет через наши сетевые соединения. В «стандартном» сценарии использования, когда Windows 10 управляет домашним или рабочим компьютером, это, в общем-то, терпимо, хотя и не очень приятно.

Однако жизнь сложная штука и не ограничивается только стандартными вариантами. Существуют ситуации, когда подобная сетевая активность операционной системы (ОС) нежелательна и даже вредна. За примерами далеко ходить не надо. Попробуйте подключить к Интернету давно не используемый резервный компьютер, собранный на старом железе. Пока софт на нём не обновится, использовать его будет практически невозможно, всё будет дико тормозить и еле шевелиться. А если вам в этот момент нужно срочно что-то сделать?

Для того чтобы подобного не происходило, необходимо «заткнуть рот Windows», то есть сделать так, чтобы она самостоятельно перестала «стучаться» в Интернет, устанавливать обновления и заниматься прочими непотребствами. Вот именно этим мы с вами и займёмся.

Если бы операционная система (ОС) разрабатывалась для удовлетворения нужд потребителей, то эту статью писать бы не пришлось. В ОС были бы стандартные механизмы настройки, с помощью которых можно было бы отключить весь ненужный функционал, но, к сожалению, это не так.

Проблема в том, что компьютер, управляемый Windows 10, нам не принадлежит. ОС содержит неудаляемые приложения, она может самостоятельно отменять действия пользователя, удалять или инсталлировать программы, а также делать другие вещи, идущие вразрез с мнением пользователя, будь он даже администратор системы.

Интеграция с облачными сервисами в Windows 10 реализована так жёстко, что безболезненно отключить её просто невозможно. При любой попытке деактивации хотя бы части этого функционала в ОС обязательно что-нибудь да сломается. Поэтому дальнейший материал, так сказать, для профессионального использования. Не рекомендуется применять его на ваших компьютерах без предварительного тестирования и отладки.

Знай своего врага в лицо

Первым шагом в нашей войне с «паразитной» сетевой активностью ОС будет исследование этой самой активности. Для этого мы соберём простейший лабораторный стенд, состоящий из двух виртуальных машин (ВМ).

Картинка с сайта: habr.com

Здесь Windows 10 будет выходить в Интернет через промежуточный Linux-шлюз, который будет оказывать ей услуги NAT и DNS-сервера.

Исследовать «паразитный» сетевой трафик будем как на Linux-шлюзе, так и на самой Windows 10. На шлюзе это будем делать с помощью сниффера tcpdump и логов DNS-сервера, а на Windows 10 мы воспользуемся утилитой Process Monitor из пакета Sysinternals.

Настройку Linux-шлюза опустим из-за банальности, а про Process Monitor скажем пару слов. Для наших целей сделаем следующие шаги:

1. Отключим захват всех событий, кроме тех, что связаны с сетью. Для этого главный тулбар настроим следующим образом:
   

   Картинка с сайта: habr.com

2. Настроим сброс отфильтрованных событий, чтобы не было переполнения памяти.
   Для этого в Menu > Filter и активируем опцию «Drop filtered events».

3. Настроим главный экран, что бы он отображал только то, что нам нужно.
   Открываем Options > Select columns и ставим галки только напротив пунктов: «Process name», «Command Line» и «Path»

В результате всех этих экзерциций при анализе сетевого трафика мы сможем увидеть процесс, инициирующий соединение, сетевой адрес назначения, и имена сетевых служб, запускаемых через специализированный процесс svchost.exe.

Картинка с сайта: habr.com

Первый замер

Наш первый замер будет самый простой. Мы дождёмся чуда, когда Windows перестанет передавать что-либо в Интернет, после чего пробежимся по стандартным настройкам ОС и посмотрим, какой трафик при этом будет генерироваться.

Картинка с сайта: habr.com

Смотрите, как здорово. В Интернет передаётся информация практически о каждом нашем клике. Приватность? Не, не слышал… Что ж, мы научились детектировать «паразитный» трафик. Теперь будем разбираться, как его блокировать.

Вариант блокировки № 1 – Windows Firewall

Наиболее логичным вариантом блокировки выглядит использование штатного межсетевого экрана — Windows Firewall. По логике вещей мы должны каким-то образом идентифицировать паразитный трафик и затем его заблокировать. Сделать это можно двумя способами:

1. Оставить разрешённым весь исходящий трафик и при этом блокировать только тот, что мы сочтём паразитным.
2. Запретить весь исходящий трафик, а затем разрешить только тот, что сочтём нужным (не паразитным).

Но поскольку мы работаем в недоверенной системе, то нам нужно убедиться, что Windows Firewall в принципе на это способен. В частности, нам нужно удостовериться, что:

1. Windows Firewall может разрешать или запрещать системный траффик ОС.
2. Windows Firewall может разрешать или запрещать траффик с гранулярностью до системных служб.
3. Windows Firewall самостоятельно не отменит сделанные нами правила или другим образом не проявит излишнюю самостоятельность.

▍ Тест для Windows Firewall № 1. Может ли он блокировать системный трафик?

Идея эксперимента очень проста. Мы запретим любую сетевую активность и посмотрим, какой трафик будет проходить через этот запрет. Для этого в настройках Windows Firewall установим по умолчанию блокировку всего исходящего и входящего трафика, после чего удалим все правила исключения. Данные со шлюза говорят о том, что «паразитный» Интернет-трафик отсутствует, и фиксируются только ARP-запросы.

Картинка с сайта: habr.com

Получается, Windows Firewall может действительно заблокировать весь Интернет-трафик. Звучит обнадёживающе.

▍ Тест для Windows Firewall № 2. Может ли он управлять трафиком конкретной сетевой службы?

В этом эксперименте мы должны убедиться, что Windows Firewall может управлять трафиком с гранулярностью до сервиса. Для этого попробуем разрешить трафик для системного DNS-клиента (имя этой службы – Dnscache). С помощью мастера настройки создадим исходящее правило, разрешающее весь трафик, и укажем, чтобы оно применялось к данной службе.

Картинка с сайта: habr.com

Смотрим, что там на шлюзе.

Картинка с сайта: habr.com

Словно человек, изнывающий от жажды при виде бутылки чистой воды, Windows 10 после разрешения работы DNS-клиента сразу же бросилась пытаться что-нибудь передать или получить из Интернета, ведь она не была в онлайне уже несколько минут. Мало ли что там могло произойти!

Windows Firewall прошёл и это испытание. Остался последний шаг.

▍ Тест для Windows Firewall № 3. Будет ли Windows Firewall самостоятельно исправлять правила, созданные пользователем?

Одним из генераторов «паразитного» трафика является встроенный антивирус Windows Defender. Он качает обновления баз, а также передаёт в облачный сервис (который судя по групповым политикам, называется SpyNet) принадлежащие вам файлы. В качестве теста попробуем заблокировать эту сетевую активность.

Для схемы с разрешённым по умолчанию исходящим трафиком создадим правило блокировки Windows Defender. Для этого в правиле блокировки укажем путь к блокируемой программе: «C:\Program Files\Windows Defender\MpCmdRun.exe»

Картинка с сайта: habr.com

В момент записи правила сразу же срабатывает Windows Defender с обнаружением угрозы (WDBlockFirewallRule) и удаляет сделанное нами правило.

Картинка с сайта: habr.com

Таким образом, последний тест Windows Firewall провалил. Конечно, правила удалил не Windows Firewall, а другой компонент ОС, тем не менее мы в очередной раз убедились, что наш компьютер нам не принадлежит.

▍ Итог по Windows Firewall

Несмотря на все выкрутасы, использование Windows Firewall для блокировки паразитного трафика возможно. Единственной доступной в данном случае схемой будет блокировка по умолчанию всего исходящего трафика с созданием разрешающих правил для трафика, который мы сочтём нужным. Тем не менее осадочек остался, и использовать Windows Firewall дальше мы не будем.

Вариант блокировки № 2 – рекомендации Microsoft

Корпорацию Microsoft наверно так задолбали с наездами по поводу не в меру ретивой сетевой активности Windows, что она выпустила гайд «Manage connections from Windows 10 and Windows 11 operating system components to Microsoft services» о том, как немного притормозить её пыл. В гайде приведены инструкции, как с помощью групповых политик или манипуляций с реестром отключить часть сетевых возможностей ОС. Также Microsoft предлагает удалить некоторые встроенные приложения. Реализация гайда приведена под спойлерами ниже.

Windows Registry Editor Version 5.00

; 8. Internet Explorer. Turn off the home page
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

; 8. Internet Explorer. Turn off the home page
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:1

; 8. Internet Explorer. Disable first run wizard
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main]
"DisableFirstRunCustomize"=dword:1

; 8. Internet Explorer. Set about:blank in new tab
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\TabbedBrowsing]
"NewTabPageShow"=dword:0

; 8.1 ActiveX control blocking. Disable periodocally download a list of out-of-date ActiveX controls
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\VersionManager]
"DownloadVersionList"=dword:0

; 18.1 General. Disable websites access to my language list
[HKEY_CURRENT_USER\Control Panel\International\User Profile]
"HttpAcceptLanguageOptOut"=dword:00000001

; 18.1 General. Disable track app launches
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Start_TrackProgs"=dword:00000000

; 18.1 General. Turn off SmartScreen check of URLs what Microsoft Store apps use:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost]
"EnableWebContentEvaluation"=dword:00000000

; 18.6 Speech. Prevent sending your voice input to Microsoft Speech services:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Speech_OneCore\Settings\OnlineSpeechPrivacy]
"HasAccepted"=dword:00000000

; 18.16 Feedback & diagnostics. Turn off tailored experiences
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CloudContent]
"DisableTailoredExperiencesWithDiagnosticData"=dword:1

; 18.21 Inking & Typing. Turn off Inking & Typing data collection
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InputPersonalization]
"RestrictImplicitTextCollection"=dword:0

; 18.21 Inking & Typing. Turn off Inking & Typing data collection
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InputPersonalization]
"RestrictImplicitInkCollection"=dword:0

; 18.21 Inking & Typing. Turn off Inking & Typing data collection
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\InputPersonalization]
"RestrictImplicitInkCollection"=dword:00000001

; 18.21 Inking & Typing. Turn off Inking & Typing data collection
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\InputPersonalization]
"RestrictImplicitTextCollection"=dword:00000001

; 21. Sync your settings
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Messaging]
"CloudServiceSyncEnabled"=dword:00000000

; 25. Personalized Experiences. Disable feature
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CloudContent]
"DisableWindowsSpotlightFeatures"=dword:1

; !!! This must be done within 15 minutes after Windows 10 or Windows 11 is installed.
; 25. Personalized Experiences. Disable feature
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContent]
"DisableCloudOptimizedContent"=dword:00000001

; 29. Windows Update. Turn off
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:1

; 29. Windows Update. Turn off
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccessMode"=dword:0

Windows Registry Editor Version 5.00

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\AuthRoot]
"DisableRootAutoUpdate"=dword:1

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config]
"ChainUrlRetrievalTimeoutMilliseconds"=dword:15000

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config]
"ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds"=dword:20000

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config]
"Options"=dword:0

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config]
"CrossCertDownloadIntervalHours"=dword:168

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\DPNGRA\Certificates]

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\DPNGRA\CRLs]

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\DPNGRA\CTLs]

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE\Certificates]

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE\CRLs]

; 1. Automatic Root Certificates Update. Disable auto update
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE\CTLs]

; 2.1 Cortana and Search Group Policies. Turn off Cortana
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Windows Search]
"AllowCortana"=dword:0

; 2.1 Cortana and Search Group Policies. Block access to location information for Cortana
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Windows Search]
"AllowSearchToUseLocation"=dword:0

; 2.1 Cortana and Search Group Policies. Remove the option to search the Internet from Cortana
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Windows Search]
"DisableWebSearch"=dword:1

; 2.1 Cortana and Search Group Policies. Stop web queries and results from showing in Search
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Windows Search]
"ConnectedSearchUseWeb"=dword:0

; 2.1 Cortana and Search Group Policies. Firewall block rule
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules]
"{0DE40C8E-C126-4A27-9371-A27DAB1039F7}"="v2.25|Action=Block|Active=TRUE|Dir=Out|Protocol=6|App=%windir%\\SystemApps\\Microsoft.Windows.Cortana_cw5n1h2txyewy\\searchUI.exe|Name=Block outbound Cortana|"

; !!!!!!!!!
; 3. Date & Time. Disable NTP
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"Type"="NoSync"

; !!!!!!!!!
; 3. Date & Time. Disable NTP
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\W32time\TimeProviders\NtpClient]
"Enabled"=dword:0

; 4. Device metadata retrieval. Prevent
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Device Metadata]
"PreventDeviceMetadataFromNetwork"=dword:1

; 5. Find My Device. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\FindMyDevice]
"AllowFindMyDevice"=dword:0

; 6. Font streaming. Disable download on demand
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"EnableFontProviders"=dword:0

; 7. Insider Preview builds. Turn off Insider Preview builds
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\PreviewBuilds]
"AllowBuildPreview"=dword:0

; 7. Insider Preview builds. Turn off Insider Preview builds
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"ManagePreviewBuildsPolicyValue"=dword:1

; 7. Insider Preview builds. Turn off Insider Preview builds
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"BranchReadinessLevel"=-

; 8. Internet Explorer. Disable suggested Sites
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Suggested Sites]
"Enabled"=dword:0

; 8. Internet Explorer. Disable enhanced suggestion in Address Bar
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer]
"AllowServicePoweredQSA"=dword:0

; !!!!!!!!!
; 8. Internet Explorer. Disable auto complete
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete]
"AutoSuggest"="no"

; 8. Internet Explorer. Disable geolocation
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Geolocation]
"PolicyDisableGeolocation"=dword:1

; 8. Internet Explorer. Prevent managing Microsoft Defender SmartScreen
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\PhishingFilter]
"EnabledV9"=dword:0

; 8. Internet Explorer. Turn off Compatibility View
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\BrowserEmulation]
"DisableSiteListEditing"=dword:1

; 8. Internet Explorer. Turn off the flip ahead with page prediction feature
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\FlipAhead]
"Enabled"=dword:0

; 8. Internet Explorer. Turn off background synchronization for feeds and Web Slices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Feeds]
"BackgroundSyncStatus"=dword:0

; 8. Internet Explorer. Disallow Online Tips
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"AllowOnlineTips"=dword:0

; 9. License Manager. Turn off related traffic
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LicenseManager]
"Start"=dword:00000004

; 10. Live Tiles. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\PushNotifications]
"NoCloudApplicationNotification"=dword:1

; 11. Mail synchronization. Turn off the Windows Mail app
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Mail]
"ManualLaunchAllowed"=dword:00000000

; 12. Microsoft Account. Disable Microsoft Account Sign-In Assistant:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wlidsvc]
"Start"=dword:00000004

13.1 Microsoft Edge Group Policies. Disable Address Bar drop-down list suggestions
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\ServiceUI]
"ShowOneBox"=dword:0

13.1 Microsoft Edge Group Policies. Disable configuration updates for the Books Library
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\BooksLibrary]
"AllowConfigurationUpdateForBooksLibrary"=dword:0

13.1 Microsoft Edge Group Policies. Turn off autofill
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\Main]
"Use FormSuggest"="no"

13.1 Microsoft Edge Group Policies. Don't send "Do Not Track"
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\Main]
"DoNotTrack"=dword:1

13.1 Microsoft Edge Group Policies. Disable password manager
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\Main]
"FormSuggest Passwords"="no"

13.1 Microsoft Edge Group Policies. Turn off search suggestion in address bar
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\SearchScopes]
"ShowSearchSuggestionsGlobal"=dword:0

13.1 Microsoft Edge Group Policies. Turn off SmartScreen
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\PhishingFilter]
"EnabledV9"=dword:0

13.1 Microsoft Edge Group Policies. Open blank new tab
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\ServiceUI]
"AllowWebContentOnNewTabPage"=dword:0

13.1 Microsoft Edge Group Policies. Set blank homepage
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\Internet Settings]
"ProvisionedHomePages"="<<about:blank>>"

13.1 Microsoft Edge Group Policies. Prevent the First Run webpage from opening
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\Main]
"PreventFirstRunPage"=dword:1

13.1 Microsoft Edge Group Policies. Disable compatibility mode
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MicrosoftEdge\BrowserEmulation]
"MSCompatibilityMode"=dword:0

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"SearchSuggestEnabled"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"AutofillAddressEnabled"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"AutofillCreditCardEnabled"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"ConfigureDoNotTrack"=dword:00000001

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"PasswordManagerEnabled"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"DefaultSearchProviderEnabled"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"HideFirstRunExperience"=dword:00000001

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"SmartScreenEnabled"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"NewTabPageLocation"="about:blank"

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"RestoreOnStartup"=dword:00000005

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\RestoreOnStartupURLs]
"1"="about:blank"

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate]
"UpdateDefault"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate]
"AutoUpdateCheckPeriodMinutes"=dword:00000000

; 13.2 Microsoft Edge Enterprise.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate]
"ExperimentationAndConfigurationServiceControl"=dword:00000000

; 14. Network Connection Status Indicator. Turn off active probe
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator]
"NoActiveProbe"=dword:1

; 15. Offline maps. Disable download and update offline maps
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Maps]
"AutoDownloadAndUpdateMapData"=dword:0

; 15. Offline maps. Disable download and update offline maps
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Maps]
"AllowUntriggeredNetworkTrafficOnSettingsPage"=dword:0

; 16. OneDrive. Prevent the usage of OneDrive for file storage
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\OneDrive]
"DisableFileSyncNGSC"=dword:1

; 16. OneDrive. Prevent OneDrive from generating network traffic until the user signs in to OneDrive
[HKEY_LOCAL_MACHINE\Software\Microsoft\OneDrive]
"PreventNetworkTrafficPreUserSignIn"=dword:1

; 18.1 General. Turn off advertising ID
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo]
"Enabled"=dword:00000000

; 18.1 General. Turn off advertising ID
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AdvertisingInfo]
"DisabledByGroupPolicy"=dword:1

; 18.1 General. Disable continue experiences
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"EnableCdp"=dword:0

; 18.2 Location. Prevent apps from accessing the location
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LocationAndSensors]
"DisableLocation"=dword:1

; 18.2 Location. Prevent apps from accessing the location
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessLocation"=dword:2

; 18.2 Location. Prevent apps from accessing the location
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessLocation_UserInControlOfTheseApps"=hex(7):00,00

; 18.2 Location. Prevent apps from accessing the location
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessLocation_ForceAllowTheseApps"=hex(7):00,00

; 18.2 Location. Prevent apps from accessing the location
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessLocation_ForceDenyTheseApps"=hex(7):00,00

; 18.3 Camera. Prevent apps from accessing the camera
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCamera"=dword:2

; 18.3 Camera. Prevent apps from accessing the camera
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCamera_UserInControlOfTheseApps"=hex(7):00,00

; 18.3 Camera. Prevent apps from accessing the camera
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCamera_ForceAllowTheseApps"=hex(7):00,00

; 18.3 Camera. Prevent apps from accessing the camera
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCamera_ForceDenyTheseApps"=hex(7):00,00

; 18.4 Microphone. Prevent apps from accessing the microphone
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMicrophone"=dword:2

; 18.4 Microphone. Prevent apps from accessing the microphone
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMicrophone_UserInControlOfTheseApps"=hex(7):00,00

; 18.4 Microphone. Prevent apps from accessing the microphone
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMicrophone_ForceAllowTheseApps"=hex(7):00,00

; 18.4 Microphone. Prevent apps from accessing the microphone
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMicrophone_ForceDenyTheseApps"=hex(7):00,00

; 18.5 Notifications. Turn off cloud notifications notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\PushNotifications]
"NoCloudApplicationNotification"=dword:1

; 18.5 Notifications. Prevent apps from accessing my notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessNotifications"=dword:2

; 18.5 Notifications. Prevent apps from accessing my notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessNotifications_UserInControlOfTheseApps"=hex(7):00,00

; 18.5 Notifications. Prevent apps from accessing my notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessNotifications_ForceAllowTheseApps"=hex(7):00,00

; 18.5 Notifications. Prevent apps from accessing my notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessNotifications_ForceDenyTheseApps"=hex(7):00,00

; 18.6 Speech. Turn off updates to the speech recognition and speech synthesis models
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Speech]
"AllowSpeechModelUpdate"=dword:0

; 18.6 Speech. Turn off updates to the speech recognition and speech synthesis models
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InputPersonalization]
"AllowInputPersonalization"=dword:0

; 18.7 Account info. Prevent apps from accessing account info
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessAccountInfo"=dword:2

; 18.7 Account info. Prevent apps from accessing account info
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessAccountInfo_UserInControlOfTheseApps"=hex(7):00,00

; 18.7 Account info. Prevent apps from accessing account info
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessAccountInfo_ForceAllowTheseApps"=hex(7):00,00

; 18.7 Account info. Prevent apps from accessing account info
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessAccountInfo_ForceDenyTheseApps"=hex(7):00,00

; 18.8 Contacts. Prevent apps from accessing contacts
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessContacts"=dword:2

; 18.8 Contacts. Prevent apps from accessing contacts
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessContacts_UserInControlOfTheseApps"=hex(7):00,00

; 18.8 Contacts. Prevent apps from accessing contacts
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessContacts_ForceAllowTheseApps"=hex(7):00,00

; 18.8 Contacts. Prevent apps from accessing contacts
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessContacts_ForceDenyTheseApps"=hex(7):00,00

; 18.9 Calendar. Prevent apps from accessing calendar
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCalendar"=dword:2

; 18.9 Calendar. Prevent apps from accessing calendar
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCalendar_UserInControlOfTheseApps"=hex(7):00,00

; 18.9 Calendar. Prevent apps from accessing calendar
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCalendar_ForceAllowTheseApps"=hex(7):00,00

; 18.9 Calendar. Prevent apps from accessing calendar
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCalendar_ForceDenyTheseApps"=hex(7):00,00

; 18.10 Call history. Prevent apps from accessing call history
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCallHistory"=dword:2

; 18.10 Call history. Prevent apps from accessing call history
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCallHistory_UserInControlOfTheseApps"=hex(7):00,00

; 18.10 Call history. Prevent apps from accessing call history
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCallHistory_ForceAllowTheseApps"=hex(7):00,00

; 18.10 Call history. Prevent apps from accessing call history
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessCallHistory_ForceDenyTheseApps"=hex(7):00,00

; 18.11 Email. Prevent apps from accessing emails
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessEmail"=dword:2

; 18.11 Email. Prevent apps from accessing emails
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessEmail_UserInControlOfTheseApps"=hex(7):00,00

; 18.11 Email. Prevent apps from accessing emails
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessEmail_ForceAllowTheseApps"=hex(7):00,00

; 18.11 Email. Prevent apps from accessing emails
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessEmail_ForceDenyTheseApps"=hex(7):00,00

; 18.12 Messaging. Prevent apps from accessing messages
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMessaging"=dword:2

; 18.12 Messaging. Prevent apps from accessing messages
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMessaging_UserInControlOfTheseApps"=hex(7):00,00

; 18.12 Messaging. Prevent apps from accessing messages
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMessaging_ForceAllowTheseApps"=hex(7):00,00

; 18.12 Messaging. Prevent apps from accessing messages
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMessaging_ForceDenyTheseApps"=hex(7):00,00

; 18.12 Messaging. Turn off Message Sync
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Messaging]
"AllowMessageSync"=dword:0

; 18.13 Phone calls. Prevent apps from accessing phone calls
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessPhone"=dword:2

; 18.13 Phone calls. Prevent apps from accessing phone calls
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessPhone_UserInControlOfTheseApps"=hex(7):00,00

; 18.13 Phone calls. Prevent apps from accessing phone calls
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessPhone_ForceAllowTheseApps"=hex(7):00,00

; 18.13 Phone calls. Prevent apps from accessing phone calls
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessPhone_ForceDenyTheseApps"=hex(7):00,00

; 18.14 Radios. Prevent apps from accessing radio
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessRadios"=dword:2

; 18.14 Radios. Prevent apps from accessing radio
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessRadios_UserInControlOfTheseApps"=hex(7):00,00

; 18.14 Radios. Prevent apps from accessing radio
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessRadios_ForceAllowTheseApps"=hex(7):00,00

; 18.14 Radios. Prevent apps from accessing radio
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessRadios_ForceDenyTheseApps"=hex(7):00,00

; 18.15 Other devices. Prevent communications with unpaired devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsSyncWithDevices"=dword:2

; 18.15 Other devices. Prevent communications with unpaired devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsSyncWithDevices_UserInControlOfTheseApps"=hex(7):00,00

; 18.15 Other devices. Prevent communications with unpaired devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsSyncWithDevices_ForceAllowTheseApps"=hex(7):00,00

; 18.15 Other devices. Prevent communications with unpaired devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsSyncWithDevices_ForceDenyTheseApps"=hex(7):00,00

; 18.15 Other devices. Prevent communications with tursted devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTrustedDevices"=dword:2

; 18.15 Other devices. Prevent communications with tursted devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTrustedDevices_UserInControlOfTheseApps"=hex(7):00,00

; 18.15 Other devices. Prevent communications with tursted devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTrustedDevices_ForceAllowTheseApps"=hex(7):00,00

; 18.15 Other devices. Prevent communications with tursted devices
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTrustedDevices_ForceDenyTheseApps"=hex(7):00,00

; 18.16 Feedback & diagnostics. Turn off Feedback notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection]
"DoNotShowFeedbackNotifications"=dword:1

; 18.16 Feedback & diagnostics. Disable telemetry
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection]
"AllowTelemetry"=dword:0

; 18.16 Feedback & diagnostics. Turn off tailored experiences
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CloudContent]
"DisableWindowsConsumerFeatures"=dword:1

; 18.17 Background apps. Turn off background app
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsRunInBackground"=dword:2

; 18.17 Background apps. Turn off background app
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsRunInBackground_UserInControlOfTheseApps"=hex(7):00,00

; 18.17 Background apps. Turn off background app
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsRunInBackground_ForceAllowTheseApps"=hex(7):00,00

; 18.17 Background apps. Turn off background app
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsRunInBackground_ForceDenyTheseApps"=hex(7):00,00

; 18.18 Motion. Prevent apps from accessing motion data
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMotion"=dword:2

; 18.18 Motion. Prevent apps from accessing motion data
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMotion_UserInControlOfTheseApps"=hex(7):00,00

; 18.18 Motion. Prevent apps from accessing motion data
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMotion_ForceAllowTheseApps"=hex(7):00,00

; 18.18 Motion. Prevent apps from accessing motion data
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessMotion_ForceDenyTheseApps"=hex(7):00,00

; 18.19 Tasks. Prevent apps from accessing tasks
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTasks"=dword:2

; 18.19 Tasks. Prevent apps from accessing tasks
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTasks_UserInControlOfTheseApps"=hex(7):00,00

; 18.19 Tasks. Prevent apps from accessing tasks
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTasks_ForceAllowTheseApps"=hex(7):00,00

; 18.19 Tasks. Prevent apps from accessing tasks
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessTasks_ForceDenyTheseApps"=hex(7):00,00

; 18.20 App Diagnostics. Prevent apps from accessing diagnostic information
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsGetDiagnosticInfo"=dword:2

; 18.20 App Diagnostics. Prevent apps from accessing diagnostic information
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsGetDiagnosticInfo_UserInControlOfTheseApps"=hex(7):00,00

; 18.20 App Diagnostics. Prevent apps from accessing diagnostic information
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsGetDiagnosticInfo_ForceAllowTheseApps"=hex(7):00,00

; 18.20 App Diagnostics. Prevent apps from accessing diagnostic information
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsGetDiagnosticInfo_ForceDenyTheseApps"=hex(7):00,00

; 18.21 Inking & Typing. Turn off Inking & Typing data collection
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\TextInput]
"AllowLinguisticDataCollection"=dword:0

; 18.22 Activity History. Turn off tracking of your Activity History
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"EnableActivityFeed"=dword:0

; 18.22 Activity History. Turn off tracking of your Activity History
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"PublishUserActivities"=dword:0

; 18.22 Activity History. Turn off tracking of your Activity History
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"UploadUserActivities"=dword:0

; 18.23 Voice Activation. Turn Off apps ability to listen for a Voice keyword
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsActivateWithVoice"=dword:2

; 18.23 Voice Activation. Turn Off apps ability to listen for a Voice keyword
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsActivateWithVoiceAboveLock"=dword:2

; 18.24 News and interests. Disable Windows Feeds
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Feeds]
"EnableFeeds"=dword:00000000

; 19. Software Protection Platform. Turn off sending KMS client activation data to Microsoft
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection Platform]
"NoGenTicket"=dword:1

; 20. Storage health. Turn off downloading updates to the Disk Failure Prediction Model
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\StorageHealth]
"AllowDiskHealthModelUpdates"=dword:0

; 21. Sync your settings. Turn off settings sync
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSync]
"DisableSettingSync"=dword:2

; 21. Sync your settings. Turn off settings sync
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSync]
"DisableSettingSyncUserOverride"=dword:1

; 22. Teredo. Disable Teredo
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\TCPIP\v6Transition]
"Teredo_State"="Disabled"

; 23. Wi-Fi Sense. Turn off the feature
[HKEY_LOCAL_MACHINE\Software\Microsoft\wcmsvc\wifinetworkmanager\config]
"AutoConnectAllowedOEM"=dword:0

; 24. Microsoft Defender Antivirus. Disconnect from the Microsoft Antimalware Protection Service
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet]
"SpynetReporting"=dword:0

; 24. Microsoft Defender Antivirus. Stop sending file samples back to Microsoft
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet]
"SubmitSamplesConsent"=dword:2

; 24. Microsoft Defender Antivirus. Stop downloading Definition Updates
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Signature Updates]
"FallbackOrder"="FileShares"

; 24. Microsoft Defender Antivirus. Stop downloading Definition Updates
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Signature Updates]
"DefinitionUpdateFileSharesSources"="Nothing"

; 24. Microsoft Defender Antivirus. Turn off Malicious Software Reporting Tool (MSRT) diagnostic data:
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MRT]
"DontReportInfectionInformation"=dword:00000001

; 24. Microsoft Defender Antivirus. Turn off Enhanced Notifications
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Reporting]
"DisableEnhancedNotifications"=dword:1

; 24.1 Microsoft Defender SmartScreen. Disable feature
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"EnableSmartScreen"=dword:0

; 24.1 Microsoft Defender SmartScreen. Disable feature
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\SmartScreen]
"ConfigureAppInstallControlEnabled"=dword:1

; 24.1 Microsoft Defender SmartScreen. Disable feature
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\SmartScreen]
"ConfigureAppInstallControl"="Anywhere"

; 24.1 Microsoft Defender SmartScreen. Disable feature
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"ShellSmartScreenLevel"=-

; 25. Personalized Experiences. Disable feature
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CloudContent]
"DisableCloudOptimizedContent"=dword:1

; 26. Microsoft Store. Disable all apps from Microsoft Store
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsStore]
"DisableStoreApps"=dword:1

; 26. Microsoft Store. Turn off Automatic Download and Install of updates.
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsStore]
"AutoDownload"=dword:2

; 27. Apps for websites. Turn off apps for websites
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"EnableAppUriHandlers"=dword:0

; 28.3. Delivery Optimization. (simple mode) prevent P2P traffic 
; Value is Hex 63 = 99 decimal
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeliveryOptimization]
"DODownloadMode"=dword:63

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotConnectToWindowsUpdateInternetLocations"=dword:1

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:1

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"=" "

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"WUStatusServer"=" "

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"UpdateServiceUrlAlternate"=" "

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
"UseWUServer"=dword:1

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"FillEmptyContentUrls"=-

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotEnforceEnterpriseTLSCertPinningForUpdateDetection"=-

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"SetProxyBehaviorForUpdateDetection"=dword:0

; 29. Windows Update. Turn off
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate]
"AutoDownload"=dword:00000005

; 30. Cloud Clipboard
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"AllowCrossDeviceClipboard"=dword:0

; 31. Services Configuration. Turn off
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection]
"DisableOneSettingsDownloads"=dword:00000001

get-AppxPackage | Remove-AppxPackage
$packs = Get-AppxProvisionedPackage -online | Select-Object PackageName
foreach ($pack in $packs) {Remove-AppxProvisionedPackage -online -PackageName $pack.PackageName}
get-AppxPackage -allusers | Remove-AppxPackage

'Uninstalling OneDrive...'
taskkill.exe /F /IM "OneDrive.exe"
& "$env:systemroot\SysWOW64\OneDriveSetup.exe" /uninstall
'... waiting until OneDrive will be uninstalled ....'
while (Test-Path $env:LOCALAPPDATA\Microsoft\OneDrive\OneDrive.exe) { Start-Sleep 1 }
'... OneDrive Uninstalling complete!'

Применим все эти файлы, перезагрузимся и посмотрим, что станет с трафиком.

Важно! Перед применением REG-файлов необходимо отключить самозащиту Windows Defender (Tamper protection). О том, как это сделать, будет в конце статьи.

Картинка с сайта: habr.com

«Паразитный» трафик уменьшился в разы, но, ожидаемо, не пропал полностью. Анализ фонового трафика находящейся в простое ВМ выявил следующих «болтунов»:

1. MS Edge;
2. Сервис Delivery Optimization (DoSvc);
3. Сервис AppX Deployment Service (AppXSVC);
4. Сервис Windows Update (wuauserv).

С большей частью болтунов можно разобраться, указав в свойствах сетевого подключения, что оно лимитированное (mettered). Для проводных (Ethernet) соединений сделать это можно с помощью скрипта под спойлером.

<# 
.SYNOPSIS : PowerShell script to set Ethernet connection as metered or not metered

.AUTHOR : Michael Pietroforte

.SITE : https://4sysops.com
#>

#We need a Win32 class to take ownership of the Registry key
$definition = @"
using System;
using System.Runtime.InteropServices; 

namespace Win32Api
{

public class NtDll
{
[DllImport("ntdll.dll", EntryPoint="RtlAdjustPrivilege")]
public static extern int RtlAdjustPrivilege(ulong Privilege, bool Enable, bool CurrentThread, ref bool Enabled);
}
}
"@ 

Add-Type -TypeDefinition $definition -PassThru | Out-Null
[Win32Api.NtDll]::RtlAdjustPrivilege(9, $true, $false, [ref]$false) | Out-Null

#Setting ownership to Administrators
$key = [Microsoft.Win32.Registry]::LocalMachine.OpenSubKey("SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost",[Microsoft.Win32.RegistryKeyPermissionCheck]::ReadWriteSubTree,[System.Security.AccessControl.RegistryRights]::takeownership)
$acl = $key.GetAccessControl()
$acl.SetOwner([System.Security.Principal.NTAccount]"Administrators")
$key.SetAccessControl($acl)

#Giving Administrators full control to the key
$rule = New-Object System.Security.AccessControl.RegistryAccessRule ([System.Security.Principal.NTAccount]"Administrators","FullControl","Allow")
$acl.SetAccessRule($rule)
$key.SetAccessControl($acl)

#Setting Ethernet as metered or not metered
$path = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost"
$name = "Ethernet"
$metered = Get-ItemProperty -Path $path | Select-Object -ExpandProperty $name

New-ItemProperty -Path $path -Name $name -Value "2" -PropertyType DWORD -Force | Out-Null
Write-Host "Ethernet is now set to metered."

После применения этого скрипта объём передаваемого трафика снизится ещё больше (~1Mb/час), а единственным болтуном останется MS Edge. Если вы планируете использовать этот браузер в дальнейшем, то на этом можно и успокоиться. Для тех же, кто хочет полной приватности, необходимо победить финального босса — MS Edge.

Чтобы прикрыть ему рот, необходимо с помощью штатных средств (Menu > Settings) настроить браузер таким образом, чтобы он использовал облачные службы, синхронизировался и выполнял прочую сетевую активность по минимуму. Если требуется настроить несколько машин, то можно только на одной настроить пользовательский профиль в браузере, а потом копировать его на все другие машины. Профиль хранится в «%LOCALAPPDATA%\Microsoft\Edge\User Data».

После настройки браузера необходимо отключить службы Edge, отвечающие за обновления, и удалить задания из системного планировщика. Сделать всё это можно следующим скриптом:

'Killing MS Edge processes...'
C:\Windows\System32\taskkill.exe /F /IM "msedge.exe"

'Stroping MS Edge update related services...'
C:\Windows\System32\net.exe stop MicrosoftEdgeElevationService
C:\Windows\System32\net.exe stop edgeupdate
C:\Windows\System32\net.exe stop edgeupdatem

'Disabling MS Edge update related services...'
C:\Windows\System32\sc.exe config MicrosoftEdgeElevationService obj= .\Guest start= disabled
C:\Windows\System32\sc.exe config edgeupdate obj= .\Guest start= disabled
C:\Windows\System32\sc.exe config edgeupdatem obj= .\Guest start= disabled

'Removing MS Edge update related Scheduler Tasks...'
Get-ScheduledTask -TaskName "*EdgeUpdate*" | Unregister-ScheduledTask -Confirm:$false

После всех этих манипуляций с MS Edge система полностью прекратит генерировать фоновый Интернет-трафик (при измерении в режиме простоя). Важно отметить, что любой неосторожный запуск MS Edge приведёт к тому, что он снова будет втихаря стучаться в Интернет. Так что будьте осторожны.

▍ Отключение Windows Defender

Данный шаг является опциональным, поскольку болтливость встроенного антивируса существенно ограничится REG-файлами, приведёнными выше. Однако, в условиях, когда антивирус не обновляется, он теряет всякую актуальность и жрёт ресурсы впустую. Чтобы его отключить, нужно сделать следующее:

1. Руками, с помощью GUI в настройках антивируса необходимо отключить опцию «Tamper protection» (Settings > Update & Security > Windows Security > Virus & Threat protection > Virus & Threat protection settings > Tamper protection off).
   

   Картинка с сайта: habr.com

2. Затем следует применить следующий REG-файл.

   REG-файл, отключающий Windows Defender

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
   "DisableAntiSpyware"=dword:00000001
   

▍ Краткая инструкция применения данного способа блокировки

1. Загрузить REG-файлы уровня пользователя user.reg и уровня компьютера comp.reg.
2. Запустить скрипт, удаляющий встроенные приложения.
3. Запустить скрипт, устанавливающий признак лимитированного соединения.
4. Провести настройку браузера MS Edge.
5. Запустить скрипт, отключающий механизмы обновления MS Edge.

▍ Послевкусие и стратегия использования

Как уже отмечалось выше, любые попытки отключения сетевых возможностей ОС Windows 10 приводят к проблемам. Данный способ не исключение.

Практика показала, что после проведения всех этих манипуляций некоторые программы, например, Mozilla Firefox, отказываются инсталлироваться. Тем не менее ранее установленные программы, тот же Firefox, продолжают работать. Всё это говорит о том, что стратегия «затыкания рта Windows» должна быть такой:

1. Полностью обновить ОС.
2. Инсталляция и настройка требуемых сторонних программ.
3. Отключение «паразитного» сетевого трафика.

Помоги спутнику бороться с космическим мусором в нашей новой игре! 🛸

Картинка с сайта: habr.com

Вирусы и прочие угрозы безопасности Windows в 2025 году направлены на извлечение мошенниками финансовой выгоды. Поэтому о сетевой безопасности нужно заботиться заблаговременно. Обычно под ней подразумевают антивирусную защиту компьютеров, сетей, серверов, мобильных устройств. Но защитить ПК от внешних вторжений позволяет не только антивирус. Эффективным средством контроля трафика является брандмауэр. Еще его называют «фаервол» или «межсетевой экран».

Задачи лучших брандмауэров для Windows в 2025 году можно условно объединить в две большие группы:

1. воспрепятствовать проникновению вирусов извне;
2. запретить установленным программам обращаться к сети без разрешения от администратора или при отсутствии сертификатов безопасности у сайта.

То есть, назначение брандмауэра — не пропускать трафик, который может навредить системе.

— Межсетевой экран устанавливают не только на компьютерах пользователей, но и на серверах, или на маршрутизаторах между подсетями. Приложения является неотъемлемой частью Windows, начиная с версии XP SP2 (он вышел аж в 2004 году, то есть, идея программы не нова — прим.ред.). Встроенный фаервол может быть включен в состав ПО маршрутизаторов — роутеров. Первые доступнее, но занимают часть ресурсов компьютера и не так надежны, но для рядовых пользователей их вполне достаточно. Вторые – это корпоративные решения, которые ставят в больших сетях с повышенными требованиями к безопасности, — рассказывает доцента кафедры информационного менеджмента и ИКТ факультета информационных технологий Университета «Синергия» Жанна Мекшенева.

В этом материале мы говорим про программные, а не аппаратные файрволы. То есть приложения (а не гаджеты), которые ставятся на компьютер и фильтруют интернет-трафик. Брандмауэр, который претендует на звание лучшего в 2025 году, должен быть способен:

• блокировать фишинговые сайты, которые пытаются заполучить доступ к конфиденциальным данным пользователей;
• отсекать шпионские программы вроде «кейлоггеров» — они записывают все нажатия клавиш;
• защищать Windows от внешних атак отказа в обслуживании (DDoS-атаки) и взлома с использованием удаленного рабочего стола;
• защищать доступ через открытые порты — через них к вашему компьютеру подключиться извне;
• пресекать IP-спуфинг — кибер-атаку, при которой мошенник выдает себя за надежный источник, чтобы получить доступ к важным данным или информации;
• контролировать доступ приложений в сеть;
• защищать от вредоносного ПО, которое может использовать компьютер для майнинга криптовалют;
• протоколировать (т.е. вести запись всех решений) и предупреждение пользователей о различных действиях;
• анализировать исходящий и входящий трафик.

В современных версиях Windows (мы говорим про лицензионные версии) есть антивирус Microsoft Defender — по-русски «Защитник». В него встроен брандмауэр. Однако разработчики выпускают независимые продукты.

— Defender потребляет минимальное количество системных ресурсов, не требует финансовых вложений, не собирает данных о пользователях и не использует их с целью получения выгоды. При этом считается, что решения от сторонних разработчиков могут обеспечить более надежную защиту. Они гибко настраиваются, включают интеллектуальные алгоритмы поиска вредоносной активности и другие полезные функции. А главное – содержат меньше уязвимостей, известных злоумышленникам, — говорит эксперт «Комсомолки».

Выбор редакции

ZoneAlarm Pro Firewall

Картинка с сайта: www.kp.ru

Компания Check Point — разработчик антивирусного ПО, предлагает свой фирменный брандмауэр. Его главное преимущество — «стелс-режим», в который можно перевести компьютер, после этого устройство фактически становится полностью невидимым для хакеров. 

В него встроена разработка OSFirewall Monitors — она отслеживает подозрительное поведение программ, помогает останавливать атаки, обходящие традиционную антивирусную защиту. Похвалить программу можно и за ноу-хау Application Control. Его суть в том, что брандмауэр загружается одновременно с системой. 

Обычно Windows сначала загружает себя и постепенно подгружает другие программы с автозапуском. В том числе и антивирусы. Это занимает секунды, но для современных вирусов этого может быть достаточно. ZoneAlarm запускается тут же со стартом работы системы.

Характеристики

Плюсы и минусы

Топ-5 лучших брандмауэров для Windows в 2025 году по мнению КП

TinyWall 

Картинка с сайта: www.kp.ru

Популярный межсетевой экран за авторством всего одного разработчика из Венгрии Кароли Падоса. Программа славится своей легкостью и простотой настройки. По сути этот брандмауэр — органичное дополнение для встроенного в Windows, который позволяет прикрыть уязвимости, которые почему-то упустило базовое приложение. Тот же Defender, к примеру, не может определить, какие приложения обмениваются данными.

Кроме того, большинство рядовых брандмауэров настроены только на фильтрацию входящих сообщений, а TinyWall дает возможность  контролировать исходящий сетевой трафик. Создан для домашнего использования и маленьких офисов (до пяти компьютеров в сети).

Характеристики

Плюсы и минусы

Картинка с сайта: www.kp.ru

Comodo Firewall

Картинка с сайта: www.kp.ru

Comodo Firewall получил широкую популярность благодаря своей «бесплатности». Только этот фаервол в отличие от TinyWall создала крупная корпорация Comodo. Можно долго рассуждать о мотивах частного бизнеса делать бесплатные продукты, но кажется, что все довольно очевидно: с его помощью они хотят рекламировать свои коммерческие программы. Так что если выберете это ПО, то готовьтесь: всплывающие уведомления с рекламой станут спутниками вашей работы за компьютером. 

Брандмауэр примечателен своей технологией  Default Deny Protection или DDP, что переводится как «Защита отказов по умолчанию». Большинство межсетевых экранов используют список известных вредоносных программ, чтобы решить, какие приложения и файлы не должны получать доступ к компьютеру. А что делать, если в список не полный? DDP не только обладает своей базой вирусов, но и настороженно относится ко всем незнакомцам, предупреждая об этом пользователя.

Характеристики

Плюсы и минусы

SpyShelter Firewall

Разработчик антивирусов SpyShelter предлагает в 2025 году свой фаерволл. В нем есть популярная функция защиты от «угроз нулевого дня». Так в сообществе кибербезопасников называют вирусы, которые пока не успели отметиться в базах данных, но уже гуляют по сети.

Похвалить создателей межсетевого экрана можно за лаконичный и в то же время визуально приятный интерфейс. Брандмауэр контролирует входящий и исходящий трафики. Если у вашей локальной сети есть администраторы, они могут точечно настраивать межсетевой экран для конкретных сотрудников. 

Встроен антикейлогер для предотвращения кражи паролей. Во  всплывающих окнах с предупреждениями фаервол предлагает отправить файл в VirusTotal — службу, которая проверяет файл через 40 программ защиты от вредоносных программ и позволяет узнать, сколько из них отметили файл как опасный.

Характеристики

Плюсы и минусы

GlassWire

Брандмауэр для Windows на фоне коллег выделяется своим ярким дизайном. Видно, что команда разработчиков работала в тесной связке со спецами, понимающими в графическом контенте. Как итог: информативные красочные графики мониторинга cети. Они буквально отвечают на вопрос: с чем и как общается ваш компьютер. 

Блокирует исходящий трафик подозрительных приложений. Выдает уведомление, если какая-то программа начала подозрительно себя вести. Позволяет следить за другими устройствами в домашней сети и получать оповещения, если кто-то неопознанный подключился к вашему Wi-Fi.

Характеристики

Плюсы и минусы

Evorim 

Небольшая компания, которая делает несколько вариантов софта на продажу, например, программу для резервного копирования или объединение разных облачных хранилищ, предлагается бесплатный брандмауэр для Windows в 2025 году. Фаерволл вполне стандартный: сигнализирует, как только что-то пытается получить доступ в интернет, блокирует по вашему запросу исходящий и входящий трафик конкретных приложений. Из интересных находок: блокировка системы отслеживания на веб-сайтах. Это ПО используют компании, чтобы мониторить, как ведут себя пользователи, куда они нажимают, чем интересуются.

То есть интерес у них чисто маркетинговый, но если вы из тех, кто всячески стремится не оставлять следов в сети, то функция «невидимки» вам должна прийтись по душе. А еще этот межсетевой экран не позволяет Windows передавать ваши телеметрию (информацию о состоянии системы и ее использовании) на свои сервера.

Характеристики

Плюсы и минусы

Как выбрать брандмауэр для Windows

— Брандмауэр предназначен для повышения безопасности информации. Для корпоративного сектора это обязательный элемент защиты: убережет от внешних атак, ограничит нежелательный доступ в интернет сотрудникам. Для обычных пользователей брандмауэр уменьшит шанс заражения червями и ограничит деятельность «подозрительных» программ, — говорит наш эксперт Жанна Мекшенева.

Cистемные требования

Брандмауэр в операционной системе потребляет ресурс процессора. Значит снижается производительность системы и скорость доступа в интернет. Для мощных устройств с высокоростным доступом в Сеть это не критично. Но на слабых бюджетных девайсах доставляет дискомфорт.

Агрессивные фаерволы подвержены ложным тревогам 

У брандмауэра случаются ложные срабатывания: он может «ругаться» на работу антивируса и других проверенных программ. В этих случаях прибегают к тонкой ручной настройке брандмауэра. Его настоятельно рекомендуется включать его в небезопасных сетях, например, публичном Wi‑Fi. Или для определенных приложений — браузеров, мессенджеров.

Сложность настройки может заключаться в создании десятка разнообразных правил для входящих и исходящих соединений вручную, зато это позволит всецело взять трафик под контроль.

Вопрос цены и количества устройств в подписке

В 2025 году существуют бесплатные межсетевые экраны, которые можно скачать непосредственно с сайтов разработчиков или агрегаторов софта. При этом компании продолжают делают и платные версии. Когда будете выбирать лучшее приложение, неизбежно встанет вопрос цены. Для дома или маленького офиса можно приобрести лицензию, которая включает защиту 3-5-10 устройств по сниженной цене.

Брандмауэр — не панацея от вирусов

Даже наличие связки антивируса и фаервола вместе не гарантирует стопроцентной защиты. Хакеры изобретательны и работают над своими «червями» каждый день. Чтобы не было мучительно больно при утере данных, рекомендуется все важные данные хранить в облаке — на удаленном сервере, которому вы доверяете.

Популярные вопросы и ответы

Мы составили рейтинг рейтинга лучших брандмауэров для Windows. Попросили доцента факультета информационных технологий Университета «Синергия» Жанну Мекшеневу ответить на часто задаваемые вопросы.

Брандмауэры являются важными инструментами для обеспечения сетевой безопасности и защиты вашего компьютера под управлением операционной системы Windows от несанкционированного доступа.

Картинка с сайта: tunecom.ru

Существует множество бесплатных брандмауэров для Windows. В этой статье мы представим некоторые из лучших фаерволов предназначенных для защиты от хакерских вторжений, а также контроля входящего и исходящего трафика.

Если использовать сторонний брандмауэр или надстройку к фаерволу, то при грамотном подходе можно значительно улучшить свою сетевую безопасность в компьютере и минимизировать утечку персональных данных на сторонние сервисы с установленных программ.

При выборе бесплатного брандмауэра следует обратить внимание на несколько факторов:

• Защита сети в режиме реального времени: это самая важная функция любого брандмауэра. Он должен иметь возможность отслеживать и блокировать входящий и исходящий трафик в автоматическом режиме.

• Дружественный интерфейс: брандмауэр должен быть прост в использовании даже для пользователей без опыта работы с данным типом приложений.

• Параметры настройки. Фаервол должен позволять настраивать его параметры в соответствии с вашими конкретными потребностями.

• Надежность и эффективность. Ищите брандмауэр, который доказал свою эффективность в блокировке сетевых угроз и обеспечении надежной безопасности.

• Использование ресурсов. Учитывайте влияние на системные ресурсы, поскольку некоторые фаерволы могут значительно замедлить работу компьютера.

• Поддержка и обновления: проверьте, получает ли данное программное обеспечение регулярные обновления и имеет ли надежную систему поддержки на случай возникновения каких-либо проблем.

• Совместимость: Убедитесь, что выбранная вами программа полностью совместима с текущей версией Windows и установленным в компьютере антивирусным решением.

8 лучших бесплатных брандмауэров для Windows

Если вам необходима дополнительная сетевая защита и серьёзный контроль за трафиком присмотритесь к представленным ниже бесплатным брандмауэрам для Windows:

ZoneAlarm Free Firewall NextGen

ZoneAlarm Free Firewall NextGen — бесплатный брандмауэр следующего поколения обеспечивает защиту компьютера от хакерских атак. Фаервол осуществляет мониторинг входящего и исходящего трафика, предотвращает вторжения ботов и делает ваше устройство невидимым в сети.

Картинка с сайта: tunecom.ru

Windows Firewall Control

Windows Firewall Control от компании Malwarebytes помогает управлять Брандмауэром Windows и значительно расширяет его функционал. Предоставляется несколько профилей фильтрации трафика, режим обучения и создание правил соединения программ с Интернетом.

Картинка с сайта: tunecom.ru

GlassWire

Это бесплатный и простой в использовании брандмауэр предлагающий визуально привлекательный интерфейс с защитой в реальном времени и возможностями тонкой настройки. Он может похвастаться множеством полезнейших функций, включая мониторинг сети, приложений и использования полосы пропускания.

Картинка с сайта: tunecom.ru

Брандмауэр Windows

Операционные системы Windows 10 и Windows 11 оснащены собственным встроенным брандмауэром который работает по умолчанию сразу из коробки. Стоит отметить, что данный фаервол не предоставляет расширенных функций, которые есть в других бесплатных брандмауэрах, но мы можем удобно настроить его с помощью сторонних приложений, например DefenderUI или Firewall App Blocker.

Картинка с сайта: tunecom.ru

ZoneAlarm Free Firewall

Фаервол предыдущего поколения обеспечивает защиту как входящего, так и исходящего трафика, имеет скрытый режим для вашего ПК от хакеров и своевременно получает обновления безопасности. ZoneAlarm Free Firewall также предлагает дополнительные параметры для настройки в соответствии с вашими предпочтениями. Единственный минус данного брандмауэра, это отсутствие интерфейса на русском языке.

Картинка с сайта: tunecom.ru

TinyWall

Легкое и минималистичное программное обеспечение включает режим автоматического обучения для простого создания правил доверенных приложений и включает защиту паролем от несанкционированного изменения настроек вашего брандмауэра.

Картинка с сайта: tunecom.ru

Firewall App Blocker

Вышеупомянутое приложение Firewall App Blocker поставляется в виде надстройки для Брандмауэра Windows и позволяет быстро запретить любой программе как входящие, так и исходящие соединения с Интернетом.

Картинка с сайта: tunecom.ru

Comodo Firewall

Пожалуй самый популярный бесплатный брандмауэр. К сожалению Comodo Firewall заброшен разработчиком и не обновляется с 2020 года, но это не мешает ему справляться с возложенными на него задачами в операционной системе Windows 10. Напомним что поддержка Windows 11 у данного фаервола отсутствует.

Картинка с сайта: tunecom.ru

Новые представители сетевой безопасности:

Abelssoft EasyFirewall

Abelssoft EasyFirewall улучшает брандмауэр операционной системы Windows путем управления настройками сети и более легкой блокировкой программам доступа к Интернету. Спустя некоторое время, приложение немного доработали и добавили русский интерфейс.

Картинка с сайта: tunecom.ru

Portmaster

Это довольно молодой брандмауэр с открытым исходным кодом который предлагает централизованное управление всеми сетевыми подключениями на вашем персональном компьютере.

Portmaster предоставляет полный список недавно активных программ и служб подключаемых к сети. При нажатии на название объекта открывается информация о его входящих и исходящих соединениях, в том числе о том, разрешил или заблокировал их брандмауэр. Если вы столкнулись с какой-либо подозрительной активностью, просто активируйте опцию «Block Connections», чтобы предотвратить обмен данными.

Картинка с сайта: tunecom.ru

Чтобы получить дополнительные сведения, разверните сведения о подключении, нажав на стрелку. Это действие показывает важные детали, такие как время начала и окончания соединения, а также соответствующий IP-адрес для входящей или исходящей связи с Интернетом.

Брандмауэр также включает фильтр конфиденциальности, который эффективно блокирует рекламу, трекеры и вредоносное ПО. Помимо этого, вы сможете создать свои собственные правила брандмауэра. Что может не устроить — английский интерфейс и тяжесть приложения.

Заключение

Для операционной системы Windows доступно множество отличных бесплатных брандмауэров. Лучший вариант для вас будет зависеть от индивидуальных предпочтений.

Если вы ищете брандмауэр с удобным интерфейсом и множеством вариантов настройки, то GlassWire, Microsoft Defender, TinyWall, ZoneAlarm Free Firewall — это хороший выбор. Comodo Firewall отлично подойдет для Windows 10.

Независимо от того, какой брандмауэр вы используете, не забывайте всегда обновлять его с помощью последних исправлений безопасности. Таким образом, вы сможете защитить свой компьютер от самых последних угроз Интернета.