Windows-Firewall: Protokollieren / Benachrichtigen bei ausgehenden Anforderungsversuchen

17

Ich versuche, die Windows-Firewall mit erweiterter Sicherheit so zu konfigurieren, dass sie protokolliert und mir mitteilt, wenn Programme versuchen, ausgehende Anforderungen zu stellen. Ich habe zuvor versucht, ZoneAlarm zu installieren, was für mich in Windows XP ein Wunder war. Aber jetzt kann ich ZoneAlarm nicht unter Windows 7 installieren.

Ist es möglich, ein Protokoll irgendwie zu überwachen oder Benachrichtigungen zu erhalten, wenn ein Programm dies versucht, wenn ich alle ausgehenden Verbindungen auf automatische Blockierung setze, damit ich dann eine bestimmte Regel für das Programm erstellen und blockieren kann?

Update
Ich habe alle Protokollierungsoptionen aktiviert, die in den Eigenschaftenfenstern der Windows-Firewall mit Advanced Security Console verfügbar sind. Aber ich sehe nur Protokolle in der %systemroot%\system32\LogFiles\Firewall\pfirewall.logDatei, nicht in der Ereignisanzeige, wie die erste Antwort nahelegt.

In den Protokollen, die ich sehen kann, wird jedoch nur die Ziel-IP der Anforderungen oder der Antwort sowie angegeben, ob die Verbindung zugelassen oder blockiert wurde. Aber es sagt mir nicht, von welcher ausführbaren Datei es kommt. Ich möchte den Dateipfad der ausführbaren Datei ermitteln, von der jede blockierte Anforderung stammt. Bisher war ich nicht in der Lage.

Maxim Zaslavsky
quelle

Antworten:

6

Sie sollten dies in der Ereignisanzeige sehen können . Zuerst müssen Sie die Protokollierungsoptionen in der Advanced Settings Console optimieren :

Alt-Text

Erweitern Sie im linken Bereich der Ereignisanzeige die Option Anwendungs- und Dienstprotokoll -> Microsoft -> Windows -> Windows-Firewall mit erweiterter Sicherheit :

Alt-Text

Dort können Sie eine benutzerdefinierte Ansicht erstellen und das Protokoll nur auf ausgehende Verbindungsversuche filtern.

John T
quelle
1
Vielen Dank! Was muss ich insbesondere in der Konsole für erweiterte Einstellungen anpassen? Verweisen Sie auf die Protokollierungsoptionen unter Eigenschaften? Wenn ja, was muss ich ändern?
Maxim Zaslavsky
Sie können die Protokollierungsoptionen nach Ihren Wünschen anpassen, müssen jedoch zuerst Regeln für ausgehende Verbindungen festlegen, da sonst nichts als abnormal angesehen und nichts protokolliert wird.
John T
Wie filtere ich das Protokoll? Ich habe alle ausgehenden Verbindungen blockiert, aber in den Protokollen wird nichts angezeigt, außer Änderungen an den Firewall-Einstellungen. Was soll ich machen?
Maxim Zaslavsky
1
Ich erwähnte in meinem Update der ursprünglichen Frage, dass nur Ziel-IPs aufgelistet werden. Ich suche nach dem Dateipfad der ausführbaren Datei, die die Anfrage gestellt hat.
Maxim Zaslavsky
1
Was wählen Sie aus, nachdem Sie auf "Benutzerdefinierte Ansicht erstellen" geklickt haben? Es möchte "Nach Protokoll" oder "Nach Quelle". Nichts davon scheint das zu sein, was ich will. Was wähle ich aus? Wie zeige ich es auf "% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.log"?
Curtis Yallop
13

In Windows 7 und 8 müssen Sie zuerst die Überwachung fehlgeschlagener Verbindungen aktivieren.

Lokale Computerrichtlinie (Ausführen: GPEdit.msc)> Computerkonfiguration> Windows-Einstellungen> Sicherheitseinstellungen> Lokale Richtlinien> Überwachungsrichtlinie> Zugriff auf Überwachungsobjekte : Fehler

Jetzt sollten abgebrochene Verbindungen zusammen mit dem entsprechenden Namen der ausführbaren Datei angezeigt werden unter:

Ereignisprotokoll> Windows-Protokolle> Sicherheit:

  1. Die Windows-Filterplattform hat ein Paket blockiert: [Ereignis-ID: 5152]
  2. Die Windows-Filterplattform hat eine Verbindung blockiert: [Ereignis-ID: 5157]

Hier finden Sie:

Anwendungsname: \ device \ harddiskvolume2 \ program files \ xyz.exe

Ujjwal Singh
quelle
7

Ich suchte nach dem gleichen Problem, und weder die Ereignisanzeige (keine Ereignisse) noch die Option pfirewall.log (kein Name des Programms, gegen das verstoßen wurde) halfen mir zu identifizieren, was vor sich geht.

Ich schaue mich um und finde den Windows Firewall Notifier , der sogar eine grafische Benutzeroberfläche bietet , die das fehlerhafte Programm anzeigt und das Generieren von Ausnahmeregeln ermöglicht.

Fraber
quelle
0

Probieren Sie das Sysmon-Dienstprogramm von SysInternals aus. Es ist einfach zu installieren und zeichnet sich durch eine gute Protokollierung aus. In den Protokollen finden Sie alle Details, einschließlich des Programms, des Pfads der Datei usw., die die Verbindung herstellt. Ich hoffe es hilft.

Chakradhar P
quelle
Willkommen bei Super User! Bitte lesen Sie die Frage noch einmal sorgfältig durch. Ihre Antwort beantwortet nicht die ursprüngliche Frage: Konfigurieren Sie die Protokollierung in der Windows-Firewall. Also, nein, deine Antwort hilft nicht.
DavidPostill