Брандмауэр Windows: ведение журнала / уведомление о попытках исходящего запроса

17

Я пытаюсь настроить брандмауэр Windows в режиме повышенной безопасности, чтобы регистрировать и сообщать мне, когда программы пытаются отправлять исходящие запросы. Раньше я пытался установить ZoneAlarm, который работал для меня в Windows XP. Но сейчас я не могу установить ZoneAlarm на Windows 7.

Можно ли каким-то образом отслеживать журнал или получать уведомления, когда программа пытается это сделать, если я установил для всех исходящих соединений автоматическую блокировку, чтобы я мог затем создать определенное правило для программы и заблокировать его?

Обновление
Я включил все параметры ведения журнала, доступные через окна свойств брандмауэра Windows с расширенной консолью безопасности. Но я вижу только логи в %systemroot%\system32\LogFiles\Firewall\pfirewall.logфайле, а не в Event Viewer, как подсказывает первый ответ.

Тем не менее, журналы, которые я могу видеть, только сообщают мне IP-адреса назначения или ответа, и было ли соединение разрешено или заблокировано. Но это не говорит мне, из какого исполняемого файла это происходит. Я хочу узнать путь к файлу исполняемого файла, из которого поступает каждый заблокированный запрос. До сих пор я не смог.

windows-7 security windows-firewall Максим Заславский
источник

Ответы:

6

Вы должны увидеть это в окне просмотра событий . Сначала вам нужно настроить параметры ведения журнала в консоли расширенных настроек :

альтернативный текст

На левой панели Просмотр событий разверните узел Журнал приложений и служб -> Microsoft -> Windows -> Брандмауэр Windows в режиме повышенной безопасности :

альтернативный текст

Там вы можете создать собственное представление и отфильтровать журнал только для попыток исходящего соединения.

Джон Т
источник
1
Благодарность! Что мне нужно настроить, в частности, в консоли расширенных настроек? Вы имеете в виду параметры ведения журнала в разделе «Свойства»? Если так, что мне нужно изменить?
Максим Заславский
Вы можете настроить параметры ведения журнала в зависимости от ваших предпочтений, но сначала вам нужно будет установить правила для исходящих подключений, иначе ничего не будет считаться ненормальным и ничего не будет зарегистрировано.
Джон Т
Как мне отфильтровать журнал? Я заблокировал все исходящие соединения, но в журналах ничего не отображается, за исключением изменений в настройках брандмауэра. Что я должен делать?
Максим Заславский
1
Я упоминал в своем обновлении исходного вопроса, что в списке указаны только IP-адреса назначения. Я ищу путь к файлу исполняемого файла, который сделал запрос.
Максим Заславский
1
После того, как вы нажмете «создать пользовательский вид», что вы выберете? Он хочет "По журналу" или "По источнику". Кажется, ничего из этого не то, что я хочу. Что мне выбрать? Как мне указать его на "% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.log"?
Кертис Яллоп
13

В Windows 7 и 8 вам необходимо сначала включить аудит неудачных соединений.

Политика локального компьютера (Выполнить: GPEdit.msc)> Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Политика аудита> Аудит доступа к объекту: сбой

Теперь потерянные соединения вместе с соответствующим именем исполняемого файла должны отображаться в:

Журнал событий> Журналы Windows> Безопасность:

  1. Платформа фильтрации Windows заблокировала пакет: [Код события: 5152]
  2. Платформа фильтрации Windows заблокировала соединение: [Код события: 5157]

Здесь вы найдете:

Имя приложения: \ device \ harddiskvolume2 \ program files \ xyz.exe

Уджвал Сингх
источник
7

Я искал ту же проблему, и ни Просмотр событий (без событий), ни опция pfirewall.log (без названия программы-нарушителя) не помогли мне определить, что происходит.

Оглядываясь вокруг, мне нравится Windows Firewall Notifier , который даже предоставляет графический интерфейс пользователя, который показывает программу-нарушитель и позволяет генерировать правила исключений (вам нужно все WFN создавать правила, а не исключения при вызове в первый раз).

fraber
источник
0

Попробуйте утилиту Sysmon от SysInternals. Это простой установщик и делает довольно хорошую регистрацию. Журналы предоставят вам всю информацию, включая программу, путь к файлу и т. Д., Который инициирует соединение. Надеюсь, это поможет.

Чакрадхар П
источник
Добро пожаловать в Супер пользователя! Пожалуйста, внимательно прочитайте вопрос. Ваш ответ не отвечает на первоначальный вопрос, который заключается в настройке ведения журнала в брандмауэре Windows. Так что, нет, ваш ответ не поможет.
DavidPostill