svchost.exeに関しては2chセキュリティ板のAgnitum Outpost Firewall part12(dat落ち中)やAgnitum Outpost Firewall part15に設定例があったので勝手にコピペしてまとめちゃいます。どちらかというと自分用のメモに。
2chスレでのOutpostの研究結果についてはOutPost and 2chにまとめられているのでこちらをよく読んで。特にシステムルールの設定あたり。
以下は2chのスレに貼られていた公式フォーラムのページ。
2chのスレや公式フォーラムを参考にした。
svchost.exeはWindowsがネットに接続するときの総合窓口的システムプログラム
(Part12スレより)だからある程度の接続は必要。但し完全に接続を許可すると、RPCの脆弱性を利用するブラスターなどのワームに対してシステムを脆弱な状態にしてしまう。従って適切なルールを作ることが極めて重要だ。
上のようにルールを区分した。必須ルールは最重要。とりあえずこれだけでもよさげ。また2chのスレから引用した説明も添えてある。
プロバイダのDNSサーバのアドレスはコマンドプロンプトで「ipconfig /all」すれば「DNS Servers」という所に2個ある。
普通dnsはUDPだけ許可すればいい。ただdns鯖の仕様によってTCPもマレにあるらしい。
トロイがDNS接続になりすまそうとすることがあるので、このルールを作っておけばそのような接続を報告してくれる。また、プロバイダのDNSサーバのアドレスが変わり接続がうまく行かなくなった場合も、このルールがあれば遮断ログから原因を突き止められる。(公式フォーラムより)
Simple Service Discovery Protocol (SSDP)はUniversal Plug and Play (UPnP)のための接続相手を探すプロトコルです。UPnPにはセキュリティ上の問題が多いうえに実際にはほとんど利用されていないのでSSDPと共に遮断しておくべきです。
「その他のシステム設定」でBlock RPCにチェックを入れてあれば、理論上はこちらにルールを作る必要はないはずですが、念のため。
DHCP(Dynamic Host Configuration Protocol)によって接続情報を割り当ててくるプロバイダの場合必要になります。ipconfig /allでDHCPサーバアドレスが表示されない場合(PPPoEという方式で接続するフレッツなど)このルールの設定は必要ありません。
ちなみに私はフレッツADSLなので「Dhcp Enabled」は「No」になっており、このルールは作っていない。
transition許可ルールはIPの再割り当てを円滑にするために推奨。
マイクロソフトのオンラインヘルプを利用する場合に許可します。
Windows Update 自動更新を使用する場合許可します。※2ch追加ルール
このルールはまだ改善の余地があるようだ。私はこのルールは作っていないけど問題ないな。
時刻合わせのために時計サーバを利用する場合許可します
私は「日付と時刻のプロパティ」から、サーバを210.173.160.27に指定しているので、リモートアドレスもこれを使った。
ルールで許可された以外の接続を一切禁止します。「念のため遮断」ルールを設定しておくと「許可優先モード(allow most)」でも「ブロック優先モード」と同様にルールで許可されていない接続が遮断されます。※なお、この全部遮断ルールはルールセットの一番下に置くこと。(ルールの適用順位は上が優先)