Hur blockera program från att modifiera Windows-brandväggen?

Trädvy Permalänk
Medlem
Registrerad
Okt 2011

Hur blockera program från att modifiera Windows-brandväggen?

Så jag har ett otäck program som kallas Warframe, detta program kan lägga till egna lagar i brandväggen utan admin behörigheter, och gör det varje gång den startas.

Jag vet hur jag kan blockera alla nya lagar, och blockera alla lagar som inte är med i en auktoriserad grupp. Men om en ny lag som redan är med i denna grupp skapas av en som inte är med i gruppen så raderas lagarna som redan fanns.

Så kan jag blockera Warframe.exe från att ska ny brandvägg lagar?

Trädvy Permalänk
Medlem
Plats
Kattlådan
Registrerad
Jul 2009

@Frejoh466:
Mig veterligen så går det det inte, då just fördelen/styrkan med Windows branväggen är att program kan skapa regler automatiskt.
Men detta är också dess nackdel/svaghet, och anledningen till att jag inaktiverade skräpet redan när det kom till WinXP och kör med 3:de parts brandvägg.

Fast du kan prova det så nämns i sista inlägget här Preventing Auto-creation of Windows Firewall Rules?

Trädvy Permalänk
Medlem
Registrerad
Okt 2011

Kör med Windows Firewall Controll som ger mer kontroll till brandväggen och vet detta.

WFC har en sak som heter "Secure Ruels" vilket gör att den raderar allt som inte skapas av wfc. Problemet är att Warframe raderar de lagar jag satt och skapar sina egna, som då raderas för att de är i fel grupp. (jag kan ändra så att Warframe gruppen inte ska raderas, men den radera de gamla och gör sina egna lagar varje gång spelet startas.)

I eventloggen så får jag 2004, 2005, och 2006 ändringar som görs av dllhost.exe.

Först raderar den gamla lagarna, med 2006

A rule has been deleted in the Windows Defender Firewall exception list. Deleted Rule: Rule ID: {B2FEC51D-7028-43F7-A9A3-F8E4C6299244} Rule Name: Warframe Game 64-bit (TCP-In) Modifying User: DESKTOP-FREJOH466\Frejoh466 Modifying Application: C:\Windows\SysWOW64\dllhost.exe"

sedan lägger till nya med 2004

A rule has been added to the Windows Defender Firewall exception list. Added Rule: Rule ID: {DFCC8FA0-F99B-43DE-B754-6F0684B21C51} Rule Name: Warframe Game 64-bit (TCP-In) Origin: Local Active: Yes Direction: Inbound Profiles: Private Action: Allow Application Path: F:\Warframe\Downloaded\Public\Warframe.x64.exe Service Name: Protocol: TCP Security Options: None Edge Traversal: Allow Modifying User: DESKTOP-FREJOH466\Frejoh466 Modifying Application: C:\Windows\SysWOW64\dllhost.exe

Som sedan raderas med wfc 2005

A rule has been modified in the Windows Defender Firewall exception list. Modified Rule: Rule ID: {DFCC8FA0-F99B-43DE-B754-6F0684B21C51} Rule Name: Warframe Game 64-bit (TCP-In) Origin: Local Active: Yes Direction: Inbound Profiles: Private Action: Allow Application Path: F:\Warframe\Downloaded\Public\Warframe.x64.exe Service Name: Protocol: TCP Security Options: None Edge Traversal: None Modifying User: SYSTEM Modifying Application: C:\Program Files\Malwarebytes\Windows Firewall Control\wfcs.exe

Kan jag blockera dllhost.exe från att ändra brandväggen?

@Belzader
Har kört med Windows Firewall Controll ett tag nu, och nu så har MalwareBytes köpt det och gjort det gratis (samma dev).

Vad är det för brandvägg du kör med och rekommenderar?

Trädvy Permalänk
Medlem
Plats
Kattlådan
Registrerad
Jul 2009
Skrivet av Frejoh466:

Vad är det för brandvägg du kör med och rekommenderar?

Jag har använt en del olika genom åren, men har de senaste ~7 åren kört med Comodo Internet Security, nackdelen med det är att det kan vara väldigt aggresivt och frågar om allting program vill göra, fast jag tycker ocskå dess styrka, då jag vill ha full kontroll över vad program gör.

Comodo har också endast brandväggen Comodo Firewall

Notera dock att om du kör Win 10 och väljer att köra med en 3:de parts brandvägg, så bör du inaktivera WF, annars ligger den och kör i bakgrunden, eftersom den är en del av Windows Defender, och detta är inte det lättaste eftersom den måste (vad jag vet iaf.) inaktiveras via registeret, och man måste ta ägarskap till den nyckeln eftersom den som standard ägs av System, innan man kan ändra på något där.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MpsSvc
Och det man ändrar för att inaktivera den är att ändra Start från 2 till 4 och eftersom ändringar i registeret inte får effekt förrän datorn har startats om, så måste man starta om den för att WF ska inaktiveras.

Notera dock att Windows Store inte fungerar om WF inte körs.

Trädvy Permalänk
Medlem
Registrerad
Okt 2011

@Belzader

Tycker att en brandvägg ska varna för all ny koppling. Har dock också vart inne på att skaffa en brandvägg. Tycker dock att det känns lite meningslöst att köra med en då Windows är den som kontrollerar alla program och kan skicka saker utan att brandväggen vet. Och om Windows kan det så kan säkert skadlig mjukvara hitta samma hål.

Sedan så skulle jag tro att annan brandvägg kräver mer minne och CPU än Windows egna.

Trädvy Permalänk
Medlem
Registrerad
Okt 2011

Ok, så jag vet att Windows har säkerhet behörigheter, kan jag ändra där från att ge programmet admin? Sätta så att den startar med ett konto som inte har admin?