Windows 防火墙:记录/通知传出请求尝试
Max*_*sky 17 security windows-7 windows-firewall
我正在尝试使用高级安全配置 Windows 防火墙来记录并告诉我程序何时尝试发出出站请求。我以前尝试过安装 ZoneAlarm,它在 Windows XP 中为我创造了奇迹。但是现在,我无法在 Windows 7 上安装 ZoneAlarm。
如果我将所有出站连接设置为自动阻止,是否可以以某种方式监视日志或在程序尝试执行此操作时获取通知,以便我可以为程序创建特定规则并阻止它?
更新
我已经通过高级安全控制台的 Windows 防火墙的属性窗口启用了所有可用的日志记录选项。但是我只看到%systemroot%\system32\LogFiles\Firewall\pfirewall.log文件中的日志,而不是事件查看器中的日志,正如第一个答案所建议的那样。
但是,我能看到的日志只告诉我请求或响应的目标 IP 以及连接是被允许还是被阻止。但它没有告诉我它来自哪个可执行文件。我想找出每个被阻止请求来自的可执行文件的文件路径。到目前为止,我还做不到。
Ujj*_*ngh 13
在 Windows 7 和 8 中,您需要首先启用对失败连接的审核。
本地计算机策略(运行:
GPEdit.msc)> 计算机配置> Windows 设置> 安全设置> 本地策略> 审核策略> 审核对象访问:失败
现在断开的连接以及相应的可执行文件名称应显示在:
事件日志 > Windows 日志 > 安全:
- Windows 筛选平台已阻止数据包:[事件 ID:5152]
- Windows 筛选平台已阻止连接:[事件 ID:5157]
在这里,您会发现:
应用程序名称:\device\harddiskvolume2\program files\xyz.exe
小智 8
我一直在寻找同样的问题,事件查看器(没有事件)和 pfirewall.log 选项(没有违规程序的名称)都没有帮助我确定发生了什么。
环顾四周,我喜欢Windows Firewall Notifier,它甚至提供了一个 GUI 来显示违规程序并允许生成异常规则(您需要 WFN 来创建规则,而不是第一次调用时的异常)。
您应该能够在Event Viewer 中看到这一点。首先,您需要调整高级设置控制台中的日志记录选项:
在事件查看器的左窗格中,展开到Applications and Services Log -> Microsoft -> Windows -> Windows Firewall with Advanced Security:
在那里,您可以创建自定义视图并将日志过滤为仅出站连接尝试。
| 归档时间: |
|
| 查看次数: |
30076 次 |
| 最近记录: |