Windows Firewall: Masuk / Memberi tahu tentang upaya permintaan keluar

17

Saya mencoba mengonfigurasi firewall Windows dengan Keamanan Tingkat Lanjut untuk masuk dan memberi tahu saya ketika program mencoba membuat permintaan keluar. Saya sebelumnya mencoba menginstal ZoneAlarm, yang bekerja sangat baik bagi saya dengan ini di Windows XP. Tapi sekarang, saya tidak dapat menginstal ZoneAlarm di Windows 7.

Apakah mungkin untuk memonitor log atau mendapatkan notifikasi ketika suatu program mencoba melakukan itu jika saya mengatur semua koneksi keluar ke blokir otomatis, sehingga saya kemudian dapat membuat aturan khusus untuk program dan memblokirnya?

Pembaruan
Saya telah mengaktifkan semua opsi logging yang tersedia melalui jendela properti Windows Firewall dengan Advanced Security Console. Tapi saya hanya melihat log di %systemroot%\system32\LogFiles\Firewall\pfirewall.logfile, bukan di Event Viewer, seperti jawaban pertama yang disarankan.

Namun, log yang dapat saya lihat hanya memberi tahu saya permintaan atau alamat tujuan IP dan apakah koneksi diizinkan atau diblokir. Tapi itu tidak memberitahuku apa yang bisa dieksekusi itu berasal. Saya ingin mengetahui jalur file yang dapat dieksekusi yang berasal dari setiap permintaan yang diblokir. Sejauh ini, saya belum bisa.

windows-7 security windows-firewall Maxim Zaslavsky
sumber

Jawaban:

6

Anda harus dapat melihatnya di Event Viewer . Pertama, Anda harus mengubah opsi log di Konsol Pengaturan Lanjut :

teks alternatif

Di panel kiri Peraga Peristiwa, rentangkan ke Aplikasi dan Log Layanan -> Microsoft -> Windows -> Windows Firewall dengan Keamanan Lanjutan :

teks alternatif

Di sana, Anda dapat membuat tampilan khusus dan memfilter log hanya untuk upaya koneksi keluar.

John T
sumber
1
Terima kasih! Apa yang perlu saya sesuaikan khususnya di konsol Pengaturan Lanjutan? Apakah Anda merujuk ke opsi logging di bawah Properties? Jika demikian, apa yang harus saya ubah?
Maxim Zaslavsky
Anda dapat mengubah opsi pembuatan log tergantung pada keinginan Anda, tetapi Anda harus terlebih dahulu menetapkan aturan untuk koneksi keluar atau jika tidak ada yang terlihat abnormal dan tidak akan dicatat.
John T
Bagaimana cara memfilter log? Saya memblokir semua koneksi keluar tetapi tidak ada yang muncul di salah satu log di sana kecuali untuk perubahan pada pengaturan firewall. Apa yang harus saya lakukan?
Maxim Zaslavsky
1
Saya sebutkan dalam pembaruan pertanyaan asli saya bahwa hanya IP tujuan yang terdaftar. Saya mencari jalur file yang dapat dieksekusi yang membuat permintaan.
Maxim Zaslavsky
1
Setelah Anda mengklik "buat tampilan khusus", apa yang Anda pilih? Ia ingin "Dengan log" atau "Dengan sumber". Semua ini tampaknya bukan yang saya inginkan. Apa yang harus saya pilih? Bagaimana cara mengarahkannya ke "% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.log"?
Curtis Yallop
13

Di Windows 7 & 8 Anda harus terlebih dahulu mengaktifkan Audit koneksi yang gagal.

Kebijakan Komputer Lokal (Jalankan: GPEdit.msc)> Konfigurasi Komputer> Pengaturan Windows> Pengaturan Keamanan> Kebijakan Lokal> Kebijakan Audit> Akses objek audit: Kegagalan

Sekarang koneksi terputus bersama dengan nama yang dapat dieksekusi yang sesuai akan ditampilkan di:

Log peristiwa> Log Windows> Keamanan:

  1. Platform Pemfilteran Windows telah memblokir sebuah paket: [Id Peristiwa: 5152]
  2. Platform Pemfilteran Windows telah memblokir koneksi: [Id Peristiwa: 5157]

Di sini, Anda akan menemukan:

Nama Aplikasi: \ device \ harddiskvolume2 \ file program \ xyz.exe

Ujjwal Singh
sumber
7

Saya mencari masalah yang sama, dan baik Penampil Acara (tidak ada acara) maupun opsi pfirewall.log (tidak ada nama program yang melanggar) membantu saya mengidentifikasi apa yang terjadi.

Melihat-lihat Saya menyukai Windows Firewall Notifier , yang bahkan menyediakan GUI yang menunjukkan program yang menyinggung dan memungkinkan untuk menghasilkan aturan pengecualian (Anda perlu menekan WFN untuk membuat aturan, bukan pengecualian saat memanggilnya untuk pertama kalinya).

fraber
sumber
0

Coba utilitas Sysmon dari SysInternals. Ini hanya installer dan melakukan logging yang cukup bagus. Log akan memberi Anda semua detail termasuk program, jalur file dll. Yang memulai koneksi. Semoga ini bisa membantu.

Chakradhar P
sumber
Selamat Datang di Pengguna Super! Silakan baca pertanyaan itu lagi dengan seksama. Jawaban Anda tidak menjawab pertanyaan awal, yaitu mengonfigurasi logging di Windows Firewall. Jadi, tidak ada jawaban Anda yang tidak membantu.
DavidPostill