Zapora systemu Windows: rejestrowanie / powiadamianie o próbach wychodzących żądań

17

Próbuję skonfigurować zaporę systemu Windows z zabezpieczeniami zaawansowanymi, aby rejestrować i informować mnie, gdy programy próbują wysyłać żądania wychodzące. Wcześniej próbowałem zainstalować ZoneAlarm, który działał dla mnie cuda w tym systemie Windows XP. Ale teraz nie mogę zainstalować ZoneAlarm na Windows 7.

Czy możliwe jest monitorowanie monitorowania dziennika lub otrzymywanie powiadomień, gdy program spróbuje to zrobić, jeśli ustawię wszystkie połączenia wychodzące na automatyczne blokowanie, aby móc następnie utworzyć określoną regułę dla programu i zablokować ją?

Aktualizacja
Włączyłem wszystkie opcje rejestrowania dostępne w oknach właściwości Zapory systemu Windows z zaawansowaną konsolą bezpieczeństwa. Ale widzę tylko dzienniki w %systemroot%\system32\LogFiles\Firewall\pfirewall.logpliku, a nie w Podglądzie zdarzeń, jak sugerowała pierwsza odpowiedź.

Jednak dzienniki, które widzę, informują mnie tylko o docelowym adresie IP żądań lub odpowiedzi oraz o tym, czy połączenie było dozwolone, czy zablokowane. Ale nie mówi mi, z jakiego pliku wykonywalnego pochodzi. Chcę znaleźć ścieżkę do pliku wykonywalnego, z którego pochodzi każde zablokowane żądanie. Jak dotąd nie byłem w stanie.

windows-7 security windows-firewall Maksym Zasławski
źródło

Odpowiedzi:

6

Powinieneś to zobaczyć w Podglądzie zdarzeń . Najpierw musisz dostosować opcje rejestrowania w konsoli ustawień zaawansowanych :

alternatywny tekst

W lewym okienku Podglądu zdarzeń rozwiń pozycję Dziennik aplikacji i usług -> Microsoft -> Windows -> Zapora systemu Windows z zabezpieczeniami zaawansowanymi :

alternatywny tekst

Tam możesz utworzyć niestandardowy widok i filtrować dziennik tylko w przypadku prób połączeń wychodzących.

John T.
źródło
1
Dzięki! Co muszę poprawić w szczególności w konsoli ustawień zaawansowanych? Czy masz na myśli opcje rejestrowania w obszarze Właściwości? Jeśli tak, co muszę zmienić?
Maxim Zaslavsky
Możesz dostosować opcje rejestrowania w zależności od swoich upodobań, ale najpierw musisz ustawić reguły połączeń wychodzących, w przeciwnym razie nic nie będzie postrzegane jako nienormalne i nic nie zostanie zarejestrowane.
John T
Jak filtrować dziennik? Zablokowałem wszystkie połączenia wychodzące, ale nic nie pojawia się w żadnym z dzienników poza zmianami ustawień zapory. Co powinienem zrobić?
Maxim Zaslavsky
1
W mojej aktualizacji pierwotnego pytania wspomniałem, że wymienione są tylko docelowe adresy IP. Szukam ścieżki do pliku wykonywalnego, który wysłał żądanie.
Maxim Zaslavsky
1
Co wybierasz po kliknięciu „utwórz widok niestandardowy”? Chce „Według dziennika” lub „Według źródła”. Żaden z nich nie wydaje się być tym, czego chcę. Co wybieram? Jak wskazać „% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.log”?
Curtis Yallop
13

W Windows 7 i 8 musisz najpierw włączyć kontrolę nieudanych połączeń.

Zasady komputera lokalnego (Uruchom: GPEdit.msc)> Konfiguracja komputera> Ustawienia systemu Windows> Ustawienia zabezpieczeń> Zasady lokalne> Zasady inspekcji> Dostęp do obiektu inspekcji: błąd

Teraz porzucone połączenia wraz z odpowiednią nazwą pliku wykonywalnego powinny wyświetlać się w:

Dziennik zdarzeń> Dzienniki systemu Windows> Bezpieczeństwo:

  1. Platforma filtrowania systemu Windows zablokowała pakiet: [Identyfikator zdarzenia: 5152]
  2. Platforma filtrowania systemu Windows zablokowała połączenie: [Identyfikator zdarzenia: 5157]

Tutaj znajdziesz:

Nazwa aplikacji: \ device \ harddiskvolume2 \ program files \ xyz.exe

Ujjwal Singh
źródło
7

Szukałem tego samego problemu i ani Podgląd zdarzeń (brak zdarzeń), ani opcja pfirewall.log (bez nazwy programu naruszającego prawa) nie pomogły mi ustalić, co się dzieje.

Rozglądając się, lubię Windows Firewall Notifier , który zapewnia nawet GUI, który pokazuje program naruszający prawa i pozwala na generowanie reguł wyjątków (musisz podać wszystkie WFN, aby utworzyć reguły, a nie wyjątki przy pierwszym wywołaniu).

fraber
źródło
0

Wypróbuj narzędzie Sysmon z SysInternals. Jest to po prostu instalator i robi całkiem niezłe logowanie. Dzienniki zawierają wszystkie szczegóły, w tym program, ścieżkę do pliku itp., Który inicjuje połączenie. Mam nadzieję, że to pomoże.

Chakradhar P.
źródło
Witamy w Super User! Przeczytaj uważnie pytanie ponownie. Twoja odpowiedź nie odpowiada na pierwotne pytanie, które polega na skonfigurowaniu rejestrowania w Zaporze systemu Windows. Więc żadna odpowiedź nie pomaga.
DavidPostill