Windows-Firewall: Protokollierung / Benachrichtigung bei ausgehenden Anforderungsversuchen

28351
Maxim Zaslavsky

Ich versuche, die Windows-Firewall mit Advanced Security so zu konfigurieren, dass sie protokolliert wird und mir mitgeteilt wird, wenn Programme versuchen, ausgehende Anforderungen zu stellen. Ich habe vorher versucht, ZoneAlarm zu installieren, was bei mir in Windows XP für Wunder gewirkt hat. Nun kann ich ZoneAlarm nicht unter Windows 7 installieren.

Ist es möglich, ein Protokoll irgendwie zu überwachen oder Benachrichtigungen zu erhalten, wenn ein Programm dies versucht, wenn alle ausgehenden Verbindungen auf "Auto-Block" gesetzt sind, sodass ich dann eine bestimmte Regel für das Programm erstellen und blockieren kann?

Update
Ich habe alle Protokollierungsoptionen aktiviert, die in den Eigenschaftenfenstern der Windows-Firewall mit Advanced Security Console verfügbar sind. Ich sehe jedoch nur Protokolle in der %systemroot%\system32\LogFiles\Firewall\pfirewall.logDatei, nicht in der Ereignisanzeige, wie in der ersten Antwort vorgeschlagen.

Die Protokolle, die ich sehen kann, sagen mir jedoch nur die Ziel-IP der Anforderungen oder der Antwort und ob die Verbindung erlaubt oder blockiert wurde. Aber es sagt mir nicht, von welcher ausführbaren Datei es kommt. Ich möchte den Dateipfad der ausführbaren Datei herausfinden, von der jede blockierte Anforderung stammt. Bisher konnte ich das nicht.

17

4 Antworten auf die Frage

13
Ujjwal Singh

In Windows 7 und 8 müssen Sie zunächst die Überwachung fehlgeschlagener Verbindungen aktivieren.

Richtlinie für lokale Computer (Ausführen: GPEdit.msc)> Computerkonfiguration> Windows-Einstellungen> Sicherheitseinstellungen> Lokale Richtlinien> Überwachungsrichtlinie> Zugriff auf Überwachungsobjekte : Fehler

Gelöschte Verbindungen mit dem entsprechenden Namen der ausführbaren Datei sollten jetzt wie folgt angezeigt werden:

Ereignisprotokoll> Windows-Protokolle> Sicherheit:

  1. Die Windows-Filterplattform hat ein Paket blockiert: [Event Id: 5152]
  2. Die Windows-Filterplattform hat eine Verbindung blockiert: [Event Id: 5157]

Hier finden Sie:

Anwendungsname: \ device \ harddiskvolume2 \ program files \ xyz.exe

6
John T

Sie sollten dies in der Ereignisanzeige sehen können . Zuerst müssen Sie die Protokollierungsoptionen in der Advanced Settings Console anpassen :

alt text

Erweitern Sie im linken Fensterbereich der Ereignisanzeige den Eintrag Anwendungs- und Dienstprotokoll -> Microsoft -> Windows -> Windows-Firewall mit erweiterter Sicherheit :

alt text

Dort können Sie eine benutzerdefinierte Ansicht erstellen und das Protokoll nur auf ausgehende Verbindungsversuche filtern.

Vielen Dank! Was muss ich insbesondere in der Advanced Settings Console anpassen? Verweisen Sie auf die Protokollierungsoptionen unter Eigenschaften? Wenn ja, was muss ich ändern? Maxim Zaslavsky vor 14 Jahren 1
Sie können die Protokollierungsoptionen nach Ihren Wünschen anpassen, aber Sie müssen zunächst Regeln für ausgehende Verbindungen festlegen. Andernfalls wird nichts als anormal angesehen und nichts wird protokolliert. John T vor 14 Jahren 0
Wie filtere ich das Protokoll? Ich habe alle ausgehenden Verbindungen blockiert, aber in den Protokollen wird nichts angezeigt, außer Änderungen an den Firewall-Einstellungen. Was soll ich machen? Maxim Zaslavsky vor 14 Jahren 0
Nichts in% windir% \ system32 \ logfiles \ firewall \ firewall.log`? John T vor 14 Jahren 0
Ich habe in meinem Update der ursprünglichen Frage erwähnt, dass nur Ziel-IPs aufgeführt sind. Ich suche nach dem Dateipfad der ausführbaren Datei, die die Anforderung gestellt hat. Maxim Zaslavsky vor 14 Jahren 1
Ich schlage vor, einen Blick auf Sysinternals (http://technet.microsoft.com/de-de/sysinternals/default) Procmon oder Procexp oder andere zu werfen; Es ist lange her, dass ich es tatsächlich verwendet habe, aber es hilft festzustellen, welche Low-Level-Operation sehr lange dauert, und Sie können die IP-Adresse filtern. Sie können auch Wireshark oder ähnliches versuchen, um den Prozess zu bestimmen, der den Verkehr durchführt. TWiStErRob vor 11 Jahren 0
Was wählen Sie aus, nachdem Sie auf "Erstellen einer benutzerdefinierten Ansicht" geklickt haben? Es will "Nach Protokoll" oder "Nach Quelle". Nichts davon scheint das zu sein, was ich will. Was wähle ich aus? Wie verweise ich auf "% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.log"? Curtis Yallop vor 8 Jahren 1
6
fraber

Ich habe nach demselben Problem gesucht, und weder die Ereignisanzeige (keine Ereignisse) noch die Option pfirewall.log (kein Name des verletzenden Programms) half mir bei der Ermittlung, was los ist.

Ich schaue mich gerne um Windows-Firewall-Notifier, der sogar eine grafische Benutzeroberfläche enthält, in der das störende Programm angezeigt wird und Ausnahmeregeln generiert werden können (Sie müssen das WFN verwenden, um Regeln zu erstellen, keine Ausnahmen, wenn Sie es zum ersten Mal aufrufen).

0
Chakradhar P

Probieren Sie das Sysmon-Dienstprogramm von SysInternals aus. Es ist ein einfacher Installer und macht eine ziemlich gute Protokollierung. In den Protokollen finden Sie alle Details, einschließlich Programm, Pfad der Datei usw., die die Verbindung initiiert. Ich hoffe es hilft.

Willkommen bei Super User! Bitte lesen Sie die Frage noch einmal sorgfältig. Ihre Antwort ** beantwortet nicht die ursprüngliche Frage, die Protokollierung in der Windows-Firewall zu konfigurieren. Also, nein, deine Antwort hilft nicht. DavidPostill vor 8 Jahren 0