Windows Firewall: การบันทึก / แจ้งเตือนเมื่อมีการร้องขอขาออก

17

ฉันกำลังพยายามกำหนดค่าไฟร์วอลล์ Windows ด้วยการรักษาความปลอดภัยขั้นสูงเพื่อเข้าสู่ระบบและแจ้งให้ฉันทราบเมื่อโปรแกรมพยายามส่งคำขอขาออก ก่อนหน้านี้ฉันลองติดตั้ง ZoneAlarm ซึ่งใช้งานได้ดีกับฉันใน Windows XP แต่ตอนนี้ฉันไม่สามารถติดตั้ง ZoneAlarm บน Windows 7 ได้

เป็นไปได้ไหมที่จะตรวจสอบบันทึกหรือรับการแจ้งเตือนเมื่อโปรแกรมพยายามทำเช่นนั้นหากฉันตั้งค่าการเชื่อมต่อขาออกทั้งหมดไปยังบล็อกอัตโนมัติเพื่อที่ฉันจะสามารถสร้างกฎเฉพาะสำหรับโปรแกรมและบล็อกได้

อัปเดต
ฉันได้เปิดใช้งานตัวเลือกการบันทึกทั้งหมดที่มีอยู่ในหน้าต่างคุณสมบัติของ Windows Firewall ด้วย Advanced Security Console แต่ฉันเห็นเฉพาะการบันทึกใน%systemroot%\system32\LogFiles\Firewall\pfirewall.logไฟล์ไม่ใช่ใน Event Viewer ตามคำแนะนำแรก

อย่างไรก็ตามบันทึกที่ฉันสามารถเห็นบอกเฉพาะคำขอหรือ IP ปลายทางของการตอบสนองและบอกว่าการเชื่อมต่อได้รับอนุญาตหรือถูกบล็อก แต่มันไม่ได้บอกฉันว่ามันมาจากไหน ฉันต้องการค้นหาเส้นทางของไฟล์ที่สามารถเรียกใช้งานได้ซึ่งคำขอที่ถูกบล็อกแต่ละอันมาจาก จนถึงตอนนี้ฉันยังไม่สามารถ

windows-7 security windows-firewall

— Maxim Zaslavsky
แหล่งที่มา

6

คุณควรจะสามารถที่จะเห็นนี้ในตัวแสดงเหตุการณ์ ก่อนอื่นคุณจะต้องปรับแต่งตัวเลือกการบันทึกในคอนโซลการตั้งค่าขั้นสูง :

ข้อความแสดงแทน

ในบานหน้าต่างด้านซ้ายของ Event Viewer ให้ขยายไปที่Applications and Services Log -> Microsoft -> Windows -> ไฟร์วอลล์ Windows ด้วยความปลอดภัยขั้นสูง :

ข้อความแสดงแทน

ที่นั่นคุณสามารถสร้างมุมมองที่กำหนดเองและกรองบันทึกเพื่อพยายามเชื่อมต่อขาออกเท่านั้น

— จอห์นที
แหล่งที่มา

1

ขอบคุณ! ฉันต้องปรับแต่งอะไรเป็นพิเศษในคอนโซลการตั้งค่าขั้นสูง คุณอ้างถึงตัวเลือกการบันทึกภายใต้คุณสมบัติหรือไม่ ถ้าเป็นเช่นนั้นฉันต้องเปลี่ยนอะไร

— Maxim Zaslavsky

คุณสามารถปรับแต่งตัวเลือกการบันทึกได้ตามความต้องการของคุณ แต่คุณจะต้องตั้งค่ากฎสำหรับการเชื่อมต่อขาออกก่อนมิฉะนั้นจะไม่มีสิ่งใดเห็นว่าผิดปกติ

— John T

ฉันจะกรองบันทึกได้อย่างไร ฉันบล็อกการเชื่อมต่อขาออกทั้งหมด แต่ไม่มีสิ่งใดปรากฏในบันทึกใด ๆ ที่นั่นยกเว้นการเปลี่ยนแปลงการตั้งค่าไฟร์วอลล์ ฉันควรทำอย่างไรดี?

— Maxim Zaslavsky

1

ฉันพูดถึงในการอัปเดตคำถามเดิมที่แสดงเฉพาะ IP ปลายทางเท่านั้น ฉันกำลังมองหาเส้นทางของไฟล์ที่ปฏิบัติการได้ที่ทำให้การร้องขอ

— Maxim Zaslavsky

1

หลังจากคุณคลิก "สร้างมุมมองที่กำหนดเอง" คุณจะเลือกอะไร มันต้องการ "By log" หรือ "By source" สิ่งเหล่านี้ดูเหมือนจะไม่ใช่สิ่งที่ฉันต้องการ ฉันจะเลือกอะไร ฉันจะชี้ไปที่ "% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.log" ได้อย่างไร

— Curtis Yallop

13

ใน Windows 7 & 8 คุณต้องเปิดใช้งานการตรวจสอบการเชื่อมต่อที่ล้มเหลวก่อน

นโยบายคอมพิวเตอร์เฉพาะที่ (เรียกใช้: GPEdit.msc)> การกำหนดค่าคอมพิวเตอร์> การตั้งค่า Windows> การตั้งค่าความปลอดภัย> นโยบายท้องถิ่น> นโยบายการตรวจสอบ> การเข้าถึงวัตถุตรวจสอบ: ความล้มเหลว

ตอนนี้การเชื่อมต่อที่ลดลงพร้อมกับชื่อปฏิบัติการที่สอดคล้องกันควรแสดงที่:

บันทึกเหตุการณ์> บันทึก Windows> ความปลอดภัย:

แพลตฟอร์มการกรอง Windows บล็อกแพ็คเก็ต: [รหัสเหตุการณ์: 5152]
แพลตฟอร์มการกรองของ Windows ได้บล็อกการเชื่อมต่อ: [รหัสเหตุการณ์: 5157]

ที่นี่คุณจะพบกับ:

ชื่อแอปพลิเคชัน: \ device \ harddiskvolume2 \ program files \ xyz.exe

— Ujjwal Singh
แหล่งที่มา

7

ฉันกำลังมองหาปัญหาเดียวกันและไม่มีตัวแสดงเหตุการณ์ (ไม่มีเหตุการณ์) หรือตัวเลือก pfirewall.log (ไม่มีชื่อโปรแกรมละเมิด) ช่วยให้ฉันระบุสิ่งที่เกิดขึ้น

เมื่อมองไปรอบ ๆ ฉันชอบWindows Firewall Notifierซึ่งให้ GUI ที่แสดงโปรแกรมที่ละเมิดและอนุญาตให้สร้างกฎข้อยกเว้น (คุณต้องทำให้ WFN สร้างกฎขึ้นมาไม่ใช่ข้อยกเว้นเมื่อเรียกเป็นครั้งแรก)

— Fraber
แหล่งที่มา

0

ลองใช้อรรถประโยชน์ Sysmon จาก SysInternals มันเป็นโปรแกรมติดตั้งเพียงอย่างเดียวและทำการบันทึกที่ค่อนข้างดี บันทึกจะให้รายละเอียดทั้งหมดรวมถึงโปรแกรมเส้นทางของไฟล์ ฯลฯ ที่เริ่มต้นการเชื่อมต่อ หวังว่ามันจะช่วย

— Chakradhar P
แหล่งที่มา

ยินดีต้อนรับสู่ Super User! โปรดอ่านคำถามอีกครั้งอย่างระมัดระวัง คำตอบของคุณไม่ตอบคำถามเดิมซึ่งเป็นการกำหนดค่าการบันทึกในไฟร์วอลล์ Windows ดังนั้นไม่มีคำตอบของคุณไม่ได้ช่วย

— DavidPostill