Bloccare un intera cartella e sottocartelle in Windows Firewall

[pipppero]

Ciao a tutti,
lo chiedo sia per Win 7 che per Win 8 (credo sia lo stesso il firewall).
Vorrei bloccare una intera cartella con le relative sottocartelle in ENTRATA e in USCITA esempio:
C:\TEMP\*.* (+le sue sottocartelle).
E' fattibile? Da quello che vedo posso solo fare regole per singoli file!

[retalv]

Ma hai presente come funziona un firewall e cosa è una cartella?

Il firewall agisce semplicemente sul traffico dati in rete (LAN o Internet).

Una cartella non produce traffico di rete come non ne riceve. Una cartella è semplicemente un contenitore logico di archivi logici.

Quello che puoi fare è impedire che alcune cartelle (ma non TEMP che altro non è che una cartella di servizio) pre codificate nel sistema (condivisioni amministrative) possano essere raggiunte tramite rete disattivando dette condivisioni (gestite dal sistema operativo, non dal filesystem) ...

[LoryOne]

Non è sul firewall che devi agire, come giustamente ti ha fatto notare retalv, bensì sui criteri di protezione locali in strumenti di amministrazione.
In criteri restrizione software, aggiungi il percorso nelle regole aggiuntive.
Il percorso può essere una chiave di registro o una cartella, in modo che un applicativo possa accedere a tale percorso, oppure no.

[pipppero]

Ciao ragazzi,
mi spiego meglio.
Ho questi file:

C:\Temp\a.exe
C:\Temp\b.exe
C:\Temp\Sottocartella\c.exe

Io voglio che invece di creare TRE regole per dire a Windows Firewall BLOCCA in ENTRATA e USCITA questo file, voglio dirgli BLOCCA C:\Temp\*.*+SOTTOCARTELLE\*.* in ENTRATA e USCITA.

[LoryOne]

Continui a fare confusione.
Un componente fa accesso ad internet indipendentemente da dove si trova; il firewall agisce solo sulla sua possibilità di fare accesso, non da dove lo fa.
In strumenti di amministrazione, il percorso può essere una chiave di registro o una cartella, in modo che un applicativo possa accedere a tale percorso in locale, oppure no.

[retalv]

Adesso si capisce meglio quello che chiedi...

La risposta purtroppo è no.

Una peculiarità dei moderni firewall, nata per aiutare i meno esperti, è quella di permettere di definire anche il percorso oltre a protocolli e porte. Questo permette in modo molto semplice e intuitivo di isolare una applicazione dalla rete esplicitando (per esempio) "Blocca tutti i protocolli di c:\pippo.exe" precisando se farli in entrata, in uscita o in entrambe le direzioni.

Nel tuo caso hai sia applicativi in %TEMP% sia in una sua sottocartella: WF permette di specificare il percorso DELL'ESEGUIBILE anche utilizzando variabili di ambiente, ma non di usare caratteri jolly (*?), quindi per fare quello che chiedi l'unico modo è o creare uno scritpt che vada creare le regole via command line per ogni file a cui intendi tarpare le ali o fare la stessa cosa manualmente tramite GUI.

La faccenda di solito si complica se gli eseguibili sono creati onfly da un altro eseguibile nella cartella %TEMP% (un esempio classico è l'eseguibile di update dei prodotti O&O). In questo caso il processo master controlla se in %TEMP%\sottocartella\ esiste il file pippo.exe e se non esiste lo crea prima di eseguirlo. Se vuoi gestire questo tipo di file dovrai farlo "girare" una volta e poi creare la regola che rimarà attiva anche in caso di cancellazione.
Altra complicazione nasce se la sottocartella è dinamica o se i files vengono creati con nomi casuali.

Facendola breve, per tagliare la testa al toro su tutte queste possibilità, non rimane altro da fare che usare il firewall in modo canonico agendo su protocolli e porte in entrata e uscita.

Volendo invece puntare direttamente sull'eseguibile, devi possibilmente analizzare che protocolli vengono usati dai vari pacchetti in %TEMP% e relative sottocartelle e dove questi fanno capo sulla rete. Con questi parametri potrai istruire il firewall per bloccare quel protocollo su tutte le porte relativamente a un dato indirizzo internet (ovviamente sia in entrata sia in uscita) o alla peggio bloccare tutti i protocolli riguardo quel dato indirizzo internet.
Ancora più semplicemente (come scritto all'inizio del post) basta bloccare tutti i protocolli su qualsiasi indirizzo IP relativamente al'eseguibile specificato.

Può essere un lavoraccio come una banale configurazione, dipende da tutti i fattori esposti...

[LoryOne]

Se ci pensi un attimo sarebbe stupido basare la regola sul percorso e sul nome del processo.
Se il processo venisse rinominato o il suo percorso spostato/rinominato, la regola non sarebbe più valida.
Diversamente, agendo su porte e protocolli, un application firewall che svolgesse anche una funzione DPI (Deep Packet Inspection) e la verifica del modo con cui l'applicazione utilizza il protocollo in uso rispettandone le direttive, sarebbe decisamente più sicura, nonchè seria ed efficace.