Firewall do Windows: Registrando / Notificando em Tentativas de Pedido de Saída


17

Estou tentando configurar o firewall do Windows com Segurança Avançada para registrar e informar quando os programas estão tentando fazer solicitações de saída. Eu já havia tentado instalar o ZoneAlarm, o que fez maravilhas para mim com isso no Windows XP. Mas agora não consigo instalar o ZoneAlarm no Windows 7.

É possível monitorar de alguma forma um log ou receber notificações quando um programa tenta fazer isso se eu definir todas as conexões de saída para bloquear automaticamente, para que eu possa criar uma regra específica para o programa e bloqueá-lo?

Atualização
Ativei todas as opções de log disponíveis nas janelas de propriedades do Firewall do Windows com o Advanced Security Console. Mas só estou vendo logs no %systemroot%\system32\LogFiles\Firewall\pfirewall.logarquivo, não no Visualizador de Eventos, como sugeriu a primeira resposta.

No entanto, os logs que eu posso ver apenas informam o IP de destino das solicitações ou respostas e se a conexão foi permitida ou bloqueada. Mas isso não me diz de onde é executável. Quero descobrir o caminho do arquivo do executável de onde vem cada solicitação bloqueada. Até agora, não fui capaz.

Respostas:


6

Você poderá ver isso no Visualizador de Eventos . Primeiro, você precisará ajustar as opções de log no console de configurações avançadas :

texto alternativo

No painel esquerdo do Visualizador de Eventos, expanda para Log de Aplicativos e Serviços -> Microsoft -> Windows -> Firewall do Windows com Segurança Avançada :

texto alternativo

Lá, você pode criar uma exibição personalizada e filtrar o log apenas para tentativas de conexão de saída.


1
Obrigado! O que preciso ajustar em particular no console de Configurações avançadas? Você está se referindo às opções de log em Propriedades? Se sim, o que preciso mudar?
Maxim Zaslavsky

Você pode ajustar as opções de logon, dependendo do seu gosto, mas precisará primeiro definir regras para conexões de saída, caso contrário, nada será visto como anormal e nada será registrado.
John T

Como filtrar o log? Bloquei todas as conexões de saída, mas nada está aparecendo em nenhum dos logs lá, exceto pelas alterações nas configurações do firewall. O que devo fazer?
Maxim Zaslavsky

1
Mencionei na minha atualização da pergunta original que apenas os IPs de destino estão listados. Estou procurando o caminho do arquivo do executável que fez a solicitação.
Maxim Zaslavsky

1
Depois de clicar em "criar uma exibição personalizada", o que você escolhe? Ele quer "Por log" ou "Por fonte". Nada disso parece ser o que eu quero. O que eu escolho? Como apontar para "% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.log"?
Curtis Yallop

13

No Windows 7 e 8, você precisa primeiro ativar a Auditoria de conexões com falha.

Diretiva de computador local (Executar: GPEdit.msc)> Configuração do computador> Configurações do Windows> Configurações de segurança> Diretivas locais> Diretiva de auditoria> Acesso ao objeto de auditoria: falha

Agora, as conexões descartadas junto com o nome do executável correspondente devem aparecer em:

Log de eventos> Logs do Windows> Segurança:

  1. A Plataforma de Filtragem do Windows bloqueou um pacote: [ID do Evento: 5152]
  2. A Plataforma de Filtragem do Windows bloqueou uma conexão: [ID do Evento: 5157]

Aqui você encontrará:

Nome do aplicativo: \ device \ harddiskvolume2 \ arquivos de programas \ xyz.exe


7

Eu estava procurando pelo mesmo problema, e nem a opção Visualizar Eventos (sem eventos) nem a opção pfirewall.log (sem nome do programa violador) me ajudaram a identificar o que está acontecendo.

Olhando em volta, gosto do Windows Firewall Notifier , que até fornece uma GUI que mostra o programa incorreto e permite gerar regras de exceção (você precisa instruir o WFN a criar regras, não exceções ao chamá-lo pela primeira vez).


0

Experimente o utilitário Sysmon da SysInternals. É um instalador simples e faz um registro muito bom. Os logs fornecerão todos os detalhes, incluindo o programa, o caminho do arquivo etc. que está iniciando a conexão. Espero que ajude.


Bem-vindo ao Super Usuário! Por favor, leia a pergunta novamente com atenção. Sua resposta não responde à pergunta original, que é configurar o log no Firewall do Windows. Portanto, não, sua resposta não ajuda.
DavidPostill
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.