Hej,
Att svartlista kan, som påpekats tidigare, vara lätt eller svårt beroende på hur många tjänster det rör sig om och vilka endpoints respektive tjänst har.
Blir nog extra lurigt att urskilja trafiken då tjänsterna är passiva -- plus att Windows är väldigt pratigt i sig själv.
Försök ringa in:
- Källportar (sannolikt random)
- Målportar
- Protokoll (mja ...)
- Måladresser (DNS/IP)
- Processer
På serversidan: Undersök med nmap, dns-loggar. Blockera med iptables.
På klientsidan: Windows egna "Resource Monitor" (visualiserar faktiskt väldigt bra vilka processer som har aktiva nätverksanslutningar), wireshark. Blockera med Windows Firewall eller annat alternativ (har inga tips).
Ett andra angreppssätt vore kanske att istället skapa en vitlista.
På serversidan: Blockera allt, tillåt port 53, 80 och 443 bör räcka ganska långt. Risken finns förstås att tvivelaktig trafik tunnlas därigenom men det kan du potentiellt motverka genom att kombinera med en lista på tillåtna domäner.
På klientsidan: Blockera allt och tillåt specifika program).
En tredje metod är att dual- eller live-boota ett isolerat operativsystem via USB (eller PXE). Om större delen av arbetet sker i webbläsaren/"molnet" bör det fungera ganska bra.
Med lite konfiguration kan du även göra innhållet på USB-stickan persistent samt montera Windowsenheten för åtkomst av filer lagrade på disken.
T