Брандмауэр Windows: регистрация / уведомление о попытках исходящего запроса

28225
Maxim Zaslavsky

Я пытаюсь настроить брандмауэр Windows в режиме повышенной безопасности, чтобы регистрировать и сообщать мне, когда программы пытаются отправлять исходящие запросы. Раньше я пытался установить ZoneAlarm, который работал для меня в Windows XP. Но сейчас я не могу установить ZoneAlarm на Windows 7.

Можно ли каким-то образом отслеживать журнал или получать уведомления, когда программа пытается это сделать, если я установил для всех исходящих соединений автоматическую блокировку, чтобы я мог затем создать определенное правило для программы и заблокировать его?

Обновление
Я включил все параметры ведения журнала, доступные через окна свойств брандмауэра Windows с расширенной консолью безопасности. Но я вижу только логи в %systemroot%\system32\LogFiles\Firewall\pfirewall.logфайле, а не в Event Viewer, как подсказывает первый ответ.

Тем не менее, журналы, которые я вижу, только сообщают мне IP-адреса назначения или ответа и, было ли соединение разрешено или заблокировано. Но это не говорит мне, из какого исполняемого файла это происходит. Я хочу выяснить путь к файлу исполняемого файла, из которого поступает каждый заблокированный запрос. До сих пор я не смог.

17

4 ответа на вопрос

13
Ujjwal Singh

In Windows 7 & 8 you need to first enable Auditing of failed connections.

Local Computer Policy (Run: GPEdit.msc) > Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit object access : Failure

Now dropped connections along with the corresponding executable name should show at:

Event log > Windows Logs > Security:

  1. The Windows Filtering Platform has blocked a packet : [Event Id: 5152]
  2. The Windows Filtering Platform has blocked a connection : [Event Id: 5157]

Here, you will find:

Application Name: \device\harddiskvolume2\program files\xyz.exe

6
John T

Вы должны увидеть это в окне просмотра событий . Сначала вам нужно настроить параметры ведения журнала в консоли расширенных настроек :

альтернативный текст

На левой панели Просмотр событий разверните узел Журнал приложений и служб -> Microsoft -> Windows -> Брандмауэр Windows в режиме повышенной безопасности :

альтернативный текст

Там вы можете создать собственное представление и отфильтровать журнал только для попыток исходящего соединения.

Спасибо! Что мне нужно настроить, в частности, в консоли расширенных настроек? Вы имеете в виду параметры ведения журнала в разделе «Свойства»? Если так, что мне нужно изменить? Maxim Zaslavsky 14 лет назад 1
Вы можете настроить параметры ведения журнала в зависимости от ваших предпочтений, но сначала вам нужно будет установить правила для исходящих подключений, иначе ничего не будет считаться ненормальным и ничего не будет зарегистрировано. John T 14 лет назад 0
Как мне отфильтровать журнал? Я заблокировал все исходящие соединения, но в журналах нет ничего, кроме изменений в настройках брандмауэра. Что я должен делать? Maxim Zaslavsky 14 лет назад 0
Ничего в `% windir% \ system32 \ logfiles \ firewall \ firewall.log`? John T 14 лет назад 0
Я упоминал в своем обновлении исходного вопроса, что в списке указаны только IP-адреса назначения. Я ищу путь к файлу исполняемого файла, который сделал запрос. Maxim Zaslavsky 14 лет назад 1
Я предлагаю взглянуть на Procmon, Procexp или другую компанию Sysinternals (http://technet.microsoft.com/en-us/sysinternals/default); это было давно, я фактически использовал, но это помогает определить, какая операция низкого уровня занимает много времени, и вы можете фильтровать IP. Также вы можете попробовать Wireshark или аналогичный, чтобы определить процесс создания трафика. TWiStErRob 11 лет назад 0
После того, как вы нажмете «создать пользовательский вид», что вы выберете? Он хочет "По журналу" или "По источнику". Кажется, ничего из этого не то, что я хочу. Что я выбираю? Как мне указать его на "% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.log"? Curtis Yallop 8 лет назад 1
6
fraber

I was looking for same problem, and neither the Event Viewer (no events) nor the pfirewall.log option (no name of the violating program) helped me to identify what's going on.

Looking around I fond Windows Firewall Notifier, which even provides a GUI that shows the offending program and allows to generate exception rules (you need to thell WFN to create rules, not exceptions when calling it for the first time).

0
Chakradhar P

Попробуйте утилиту Sysmon от SysInternals. Это простой установщик и делает довольно хорошую регистрацию. Журналы предоставят вам всю информацию, включая программу, путь к файлу и т. Д., Который инициирует соединение. Надеюсь, поможет.

Добро пожаловать в Супер пользователя! Пожалуйста, внимательно прочитайте вопрос. Ваш ответ ** не ** отвечает на первоначальный вопрос, который заключается в настройке ведения журнала в брандмауэре Windows. Таким образом, ваш ответ не поможет. DavidPostill 8 лет назад 0

Похожие вопросы