Windows Firewall: registrazione / notifica sui tentativi di richiesta in uscita

Sto cercando di configurare il firewall di Windows con Advanced Security per registrarmi e dirmi quando i programmi stanno tentando di effettuare richieste in uscita. In precedenza ho provato a installare ZoneAlarm, che ha funzionato a meraviglia con questo in Windows XP. Ma ora, non riesco a installare ZoneAlarm su Windows 7.

È possibile in qualche modo monitorare un registro o ricevere notifiche quando un programma tenta di farlo se imposto tutte le connessioni in uscita su blocco automatico, in modo da poter creare una regola specifica per il programma e bloccarlo?

Aggiornamento
Ho abilitato tutte le opzioni di registrazione disponibili attraverso le finestre delle proprietà di Windows Firewall con Advanced Security Console. Ma vedo solo i registri nel %systemroot%\system32\LogFiles\Firewall\pfirewall.logfile, non nel Visualizzatore eventi, come suggerito dalla prima risposta.

Tuttavia, i registri che posso vedere indicano solo le richieste o l'IP di destinazione della risposta e se la connessione è stata consentita o bloccata. Ma non mi dice da quale eseguibile provenga. Voglio scoprire il percorso del file dell'eseguibile da cui proviene ogni richiesta bloccata. Finora non sono stato in grado di farlo.

Dovresti essere in grado di vederlo nel Visualizzatore eventi . Per prima cosa devi modificare le opzioni di registrazione nella Console impostazioni avanzate :

Nel riquadro sinistro del Visualizzatore eventi, espandere Registro applicazioni e servizi -> Microsoft -> Windows -> Windows Firewall con sicurezza avanzata :

Qui puoi creare una vista personalizzata e filtrare il registro solo per tentativi di connessione in uscita.

In Windows 7 e 8 devi prima abilitare il controllo delle connessioni non riuscite.

Criteri del computer locale (Esegui: GPEdit.msc)> Configurazione del computer> Impostazioni di Windows> Impostazioni di sicurezza> Criteri locali> Criteri di controllo> Accesso agli oggetti di controllo: errore

Ora le connessioni rilasciate insieme al nome eseguibile corrispondente dovrebbero mostrare a:

Registro eventi> Registri di Windows> Sicurezza:

1. La piattaforma di filtro di Windows ha bloccato un pacchetto: [ID evento: 5152]
2. La piattaforma di filtro di Windows ha bloccato una connessione: [ID evento: 5157]

Qui troverai:

Nome applicazione: \ device \ harddiskvolume2 \ program files \ xyz.exe

Stavo cercando lo stesso problema, e né il Visualizzatore eventi (nessun evento) né l'opzione pfirewall.log (nessun nome del programma in violazione) mi hanno aiutato a identificare cosa sta succedendo.

Guardandomi in giro, adoro Windows Firewall Notifier , che fornisce persino una GUI che mostra il programma offensivo e consente di generare regole di eccezione (è necessario indicare a WFN per creare regole, non eccezioni quando lo si chiama per la prima volta).

Prova l'utilità Sysmon da SysInternals. È semplicemente un programma di installazione e fa una registrazione abbastanza buona. I registri ti forniranno tutti i dettagli tra cui il programma, il percorso del file ecc. Che sta avviando la connessione. Spero che sia d'aiuto.