我正在尝试配置具有高级安全性的Windows防火墙来记录并告诉我程序何时尝试发出出站请求。我之前尝试过安装ZoneAlarm,它在Windows XP中为我创造了奇迹。但现在,我无法在Windows 7上安装ZoneAlarm。
如果我将所有出站连接设置为自动阻止,是否有可能以某种方式监视日志或在程序尝试执行此操作时收到通知,以便我可以为该程序创建特定规则并阻止它?
更新
我已通过高级安全控制台的Windows防火墙的属性窗口启用了所有可用的日志记录选项。但我只看到日志 %systemroot%\system32\LogFiles\Firewall\pfirewall.log 文件,而不是在事件查看器中,作为建议的第一个答案。
但是,我能看到的日志只告诉我请求或响应的目标IP以及是否允许或阻止连接。但它没有告诉我它来自哪个可执行文件。我想找出每个被阻止的请求来自的可执行文件的文件路径。到目前为止,我还没有。
Answers:
你应该能够看到这个 事件查看器 。首先,您需要调整日志中的日志记录选项 高级设置控制台 :
在“事件查看器”的左窗格中,展开到 应用程序和服务日志 - >微软 - > Windows - >高级安全Windows防火墙 :
在那里,您可以创建自定义视图并将日志过滤到仅出站连接尝试。
在Windows 7& 8您需要首先启用对失败连接的审核。
本地计算机政策(运行:
GPEdit.msc)&gt; <计算机配置> Windows设置&gt;安全设置&gt;地方政策&gt;审计政策&gt;审核对象访问: 失败
现在,丢弃的连接以及相应的可执行文件名应显示在:
事件日志&gt; Windows日志&gt;安全:
在这里,你会发现:
应用程序名称:\ device \ harddiskvolume2 \ program files \ xyz.exe
我一直在寻找相同的问题,事件查看器(没有事件)和pfirewall.log选项(没有违反程序的名称)都帮助我确定发生了什么。
环顾四周,我喜欢 Windows防火墙通知程序 ,它甚至提供了一个显示违规程序的GUI,并允许生成异常规则(您需要WFN创建规则,而不是第一次调用时的异常)。
从SysInternals尝试Sysmon实用程序。它是一个简单的安装程序,并做了很好的日志。日志将为您提供所有详细信息,包括启动连接的程序,文件路径等。希望能帮助到你。