Windowsファイアウォール:発信要求の試行に関するログ/通知
ログに記録して、プログラムが発信要求を行おうとしているときに通知するように、セキュリティが強化されたWindowsファイアウォールを構成しようとしています。以前にZoneAlarmをインストールしてみましたが、これはWindows XPでこれを使って不思議に思いました。しかし、今はWindows 7にZoneAlarmをインストールできません。
すべての送信接続を自動ブロックに設定すると、プログラムが特定のルールを作成してブロックできるように、ログを監視したり、プログラムが通知を取得しようとしたときに通知を受け取ることができますか?
更新
セキュリティが強化されたWindowsファイアウォールのWindowsファイアウォールのプロパティウィンドウから利用できるすべてのログオプションを有効にしました。しかし、最初の回答が示唆しているように、イベントビューアではなく%systemroot%\system32\LogFiles\Firewall\pfirewall.logファイルにのみログが表示されます。
ただし、表示できるログでは、要求または応答の宛先IPと、接続が許可されたかブロックされたかのみがわかります。しかし、それはそれがどの実行可能ファイルから来たかを私に教えてくれません。ブロックされた各リクエストの実行可能ファイルのパスを調べたいのですが。これまでのところ、私はできません。
これはEvent Viewerで確認できるはずです。まず、詳細設定コンソールでログオプションを微調整する必要があります:
イベントビューアの左側のペインで、アプリケーションとサービスログ-> Microsoft-> Windows->セキュリティが強化されたWindowsファイアウォールに展開します。
そこで、カスタムビューを作成し、送信接続の試行のみにログをフィルターできます。
Windows 7および8では、失敗した接続の監査を最初に有効にする必要があります。
ローカルコンピュータポリシー(実行:
GPEdit.msc)>コンピュータの構成> Windowsの設定>セキュリティの設定>ローカルポリシー>監査ポリシー>オブジェクトアクセスの監査:失敗
これで、ドロップされた接続と対応する実行可能ファイルの名前が次の場所に表示されます。
イベントログ> Windowsログ>セキュリティ:
- Windowsフィルタリングプラットフォームがパケットをブロックしました:[イベントID:5152]
- Windowsフィルタリングプラットフォームが接続をブロックしました:[イベントID:5157]
ここでは、次のことがわかります。
アプリケーション名:\ device\harddiskvolume2\program files\xyz.exe
同じ問題を探していましたが、イベントビューア(イベントなし)もpfirewall.logオプション(違反プログラムの名前なし)も何が起こっているのかを特定するのに役立ちませんでした。
私が好きなのは Windows Firewall Notifier です。これにより、問題のあるプログラムを表示し、例外ルールを生成できるGUIも提供されます(最初に呼び出すときの例外ではなく、WFNでルールを作成する必要があります) )。
SysInternalsのSysmonユーティリティを試してください。これは単にインストーラーであり、かなり優れたロギングを行います。ログは、接続を開始しているプログラム、ファイルのパスなどを含むすべての詳細を提供します。それが役に立てば幸い。