3

Я настроил брандмауэр Windows для блокировки всех исходящих соединений. Затем я создал "разрешить" правила, позволяющие определенным приложениям создавать исходящие соединения. К сожалению, кажется, что некоторые соединения, которые должны быть разрешены, все еще заблокированы, и я не понимаю, почему.

У меня есть простое правило, разрешающее отчеты о проблемах Windows:

  • Включено: Да
  • Действие: разрешить соединение
  • Программы: C:\windows\system32\wermgr.exe
  • Тип протокола: TCP (6)
  • Локальный порт: все порты
  • Удаленный порт: все порты
  • Локальный IP-адрес: любой IP-адрес
  • Удаленный IP-адрес: любой IP-адрес
  • Профили: Домен, Частный, Публичный

Тем не менее, после создания этого правила соединение было заблокировано и зарегистрировано в журнале событий:

The Windows Filtering Platform has blocked a connection.

Application Information:
    Process ID:     7440
    Application Name:   \device\harddiskvolume3\windows\system32\wermgr.exe

Network Information:
    Direction:      Outbound
    Source Address:     192.168.1.23
    Source Port:        31532
    Destination Address:    65.55.53.190
    Destination Port:       80
    Protocol:       6

Filter Information:
    Filter Run-Time ID: 184645
    Layer Name:     Connect
    Layer Run-Time ID:  48

Учитывая правило, которое было создано специально для подключения wermgr.exe я не понимаю, почему соединение было заблокировано. Как я могу изменить правило, чтобы разрешить соединение?

Кстати, это не проблема, связанная с wermgr.exe . Время от времени я вижу заблокированные соединения для других приложений, хотя я также создал для них правила. К счастью, большую часть времени правила работают как положено.

1 ответ1

5

Обратившись за помощью на форуме Windows Filtering Platform (WFP) на MSDN, я узнал, что вы можете фиксировать активность WFP (которую использует брандмауэр) с помощью следующих команд:

netsh wfp capture start
netsh wfp capture stop

Полученный файл журнала представляет собой XML, что делает его читабельным для человека, и из этого файла я узнал, что wermgr.exe блокируется правилом Исходящий блок WSH по умолчанию с описанием. Блокирует весь исходящий трафик для служб, защищенных сетью. По-видимому, это правило имеет приоритет перед моим правилом "разрешить".

Я не совсем уверен, почему wermgr.exe зависит от правила по умолчанию для усиления защиты служб Windows, но я предполагаю, что одна из защищенных служб выполняет wermgr.exe для выполнения задачи подключения к серверу по адресу 65.55.53.190 (IP-адрес Microsoft ), и wermgr.exe затем блокируется так же, как и служба.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .