Windows Firewall: registrazione / notifica sui tentativi di richiesta in uscita


17

Sto cercando di configurare il firewall di Windows con Advanced Security per registrarmi e dirmi quando i programmi stanno tentando di effettuare richieste in uscita. In precedenza ho provato a installare ZoneAlarm, che ha funzionato a meraviglia con questo in Windows XP. Ma ora, non riesco a installare ZoneAlarm su Windows 7.

È possibile in qualche modo monitorare un registro o ricevere notifiche quando un programma tenta di farlo se imposto tutte le connessioni in uscita su blocco automatico, in modo da poter creare una regola specifica per il programma e bloccarlo?

Aggiornamento
Ho abilitato tutte le opzioni di registrazione disponibili attraverso le finestre delle proprietà di Windows Firewall con Advanced Security Console. Ma vedo solo i registri nel %systemroot%\system32\LogFiles\Firewall\pfirewall.logfile, non nel Visualizzatore eventi, come suggerito dalla prima risposta.

Tuttavia, i registri che posso vedere indicano solo le richieste o l'IP di destinazione della risposta e se la connessione è stata consentita o bloccata. Ma non mi dice da quale eseguibile provenga. Voglio scoprire il percorso del file dell'eseguibile da cui proviene ogni richiesta bloccata. Finora non sono stato in grado di farlo.

Risposte:


6

Dovresti essere in grado di vederlo nel Visualizzatore eventi . Per prima cosa devi modificare le opzioni di registrazione nella Console impostazioni avanzate :

testo alternativo

Nel riquadro sinistro del Visualizzatore eventi, espandere Registro applicazioni e servizi -> Microsoft -> Windows -> Windows Firewall con sicurezza avanzata :

testo alternativo

Qui puoi creare una vista personalizzata e filtrare il registro solo per tentativi di connessione in uscita.


1
Grazie! Cosa devo modificare in particolare nella console Impostazioni avanzate? Ti riferisci alle opzioni di registrazione in Proprietà? In tal caso, cosa devo cambiare?
Maxim Zaslavsky,

È possibile modificare le opzioni di registrazione in base alle proprie preferenze, ma è necessario innanzitutto impostare le regole per le connessioni in uscita, altrimenti non si vedrà nulla di anormale e nulla verrà registrato.
John T,

Come filtrare il registro? Ho bloccato tutte le connessioni in uscita ma non viene visualizzato nulla in nessuno dei registri tranne le modifiche alle impostazioni del firewall. Cosa dovrei fare?
Maxim Zaslavsky,

1
Nel mio aggiornamento della domanda originale ho menzionato che sono elencati solo gli IP di destinazione. Sto cercando il percorso del file dell'eseguibile che ha effettuato la richiesta.
Maxim Zaslavsky,

1
Dopo aver fatto clic su "crea una vista personalizzata", cosa scegli? Vuole "Per registro" o "Per fonte". Nessuno di questi sembra essere quello che voglio. Cosa scelgo? Come lo indico a "% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.log"?
Curtis Yallop,

13

In Windows 7 e 8 devi prima abilitare il controllo delle connessioni non riuscite.

Criteri del computer locale (Esegui: GPEdit.msc)> Configurazione del computer> Impostazioni di Windows> Impostazioni di sicurezza> Criteri locali> Criteri di controllo> Accesso agli oggetti di controllo: errore

Ora le connessioni rilasciate insieme al nome eseguibile corrispondente dovrebbero mostrare a:

Registro eventi> Registri di Windows> Sicurezza:

  1. La piattaforma di filtro di Windows ha bloccato un pacchetto: [ID evento: 5152]
  2. La piattaforma di filtro di Windows ha bloccato una connessione: [ID evento: 5157]

Qui troverai:

Nome applicazione: \ device \ harddiskvolume2 \ program files \ xyz.exe


7

Stavo cercando lo stesso problema, e né il Visualizzatore eventi (nessun evento) né l'opzione pfirewall.log (nessun nome del programma in violazione) mi hanno aiutato a identificare cosa sta succedendo.

Guardandomi in giro, adoro Windows Firewall Notifier , che fornisce persino una GUI che mostra il programma offensivo e consente di generare regole di eccezione (è necessario indicare a WFN per creare regole, non eccezioni quando lo si chiama per la prima volta).


0

Prova l'utilità Sysmon da SysInternals. È semplicemente un programma di installazione e fa una registrazione abbastanza buona. I registri ti forniranno tutti i dettagli tra cui il programma, il percorso del file ecc. Che sta avviando la connessione. Spero che sia d'aiuto.


Benvenuto in Super User! Si prega di leggere di nuovo attentamente la domanda. La risposta non risponde alla domanda originale, ovvero configurare la registrazione in Windows Firewall. Quindi, nessuna risposta non aiuta.
DavidPostill
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.