17

Я пытаюсь настроить брандмауэр Windows в режиме повышенной безопасности, чтобы регистрировать и сообщать мне, когда программы пытаются отправлять исходящие запросы. Раньше я пытался установить ZoneAlarm, который работал для меня в Windows XP. Но сейчас я не могу установить ZoneAlarm на Windows 7.

Можно ли каким-то образом отслеживать журнал или получать уведомления, когда программа пытается это сделать, если я установил для всех исходящих соединений автоматическую блокировку, чтобы я мог затем создать определенное правило для программы и заблокировать его?

Обновить
Я включил все параметры ведения журнала, доступные через окна свойств брандмауэра Windows с расширенной консолью безопасности. Но я вижу только журналы в файле %systemroot%\system32\LogFiles\Firewall\pfirewall.log , а не в средстве просмотра событий, как предложено в первом ответе.

Тем не менее, журналы, которые я вижу, только сообщают мне IP-адреса назначения или ответа, а также то, было ли соединение разрешено или заблокировано. Но это не говорит мне, из какого исполняемого файла это происходит. Я хочу выяснить путь к файлу исполняемого файла, из которого поступает каждый заблокированный запрос. До сих пор я не смог.

4 ответа4

13

В Windows 7 и 8 вам необходимо сначала включить аудит неудачных соединений.

Политика локального компьютера (Запуск: GPEdit.msc)> Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Политика аудита> Аудит доступа к объекту: сбой

Теперь потерянные соединения вместе с соответствующим именем исполняемого файла должны отображаться в:

Журнал событий> Журналы Windows> Безопасность:

  1. Платформа фильтрации Windows заблокировала пакет: [Код события: 5152]
  2. Платформа фильтрации Windows заблокировала соединение: [Код события: 5157]

Здесь вы найдете:

Имя приложения: \device \harddiskvolume2 \program files \xyz.exe

6

Вы должны увидеть это в окне просмотра событий. Сначала вам нужно настроить параметры ведения журнала в консоли расширенных настроек:

альтернативный текст

На левой панели Просмотр событий разверните узел Журнал приложений и служб -> Microsoft -> Windows -> Брандмауэр Windows в режиме повышенной безопасности:

альтернативный текст

Там вы можете создать собственное представление и отфильтровать журнал только для попыток исходящего соединения.

6

Я искал ту же проблему, и ни Просмотр событий (без событий), ни опция pfirewall.log (без названия программы-нарушителя) не помогли мне определить, что происходит.

Оглядываясь по сторонам, я обожаю Windows Firewall Notifier, который даже предоставляет графический интерфейс пользователя, который показывает программу-нарушитель и позволяет генерировать правила исключений (вам нужно все WFN создавать правила, а не исключения при вызове в первый раз).

0

Попробуйте утилиту Sysmon от SysInternals. Это простой установщик и делает довольно хорошую регистрацию. Журналы предоставят вам всю информацию, включая программу, путь к файлу и т.д., Который инициирует соединение. Надеюсь, поможет.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .