Firewall de Windows: registro / notificación de intentos de solicitud salientes


17

Estoy tratando de configurar el firewall de Windows con seguridad avanzada para iniciar sesión y decirme cuándo los programas intentan realizar solicitudes salientes. Anteriormente intenté instalar ZoneAlarm, que funcionó de maravilla para mí con esto en Windows XP. Pero ahora, no puedo instalar ZoneAlarm en Windows 7.

¿Es posible monitorear de alguna manera un registro u obtener notificaciones cuando un programa intenta hacer eso si configuro todas las conexiones salientes para autobloquear, de modo que pueda crear una regla específica para el programa y bloquearla?

Actualización
He habilitado todas las opciones de registro disponibles a través de las ventanas de propiedades del Firewall de Windows con la Consola de seguridad avanzada. Pero solo veo registros en el %systemroot%\system32\LogFiles\Firewall\pfirewall.logarchivo, no en el Visor de eventos, como sugiere la primera respuesta.

Sin embargo, los registros que puedo ver solo me dicen las solicitudes o la IP de destino de la respuesta y si la conexión fue permitida o bloqueada. Pero no me dice de qué ejecutable proviene. Quiero averiguar la ruta del archivo ejecutable del que proviene cada solicitud bloqueada. Hasta ahora, no he podido.

Respuestas:


6

Debería poder ver esto en el Visor de eventos . Primero, deberá ajustar las opciones de registro en la Consola de configuración avanzada :

texto alternativo

En el panel izquierdo del Visor de eventos, expanda a Registro de aplicaciones y servicios -> Microsoft -> Windows -> Firewall de Windows con seguridad avanzada :

texto alternativo

Allí, puede crear una vista personalizada y filtrar el registro solo para los intentos de conexión salientes.


1
¡Gracias! ¿Qué necesito ajustar en particular en la consola de Configuración avanzada? ¿Se refiere a las opciones de registro en Propiedades? Si es así, ¿qué necesito cambiar?
Maxim Zaslavsky

Puede ajustar las opciones de registro según su gusto, pero primero tendrá que establecer reglas para las conexiones salientes o de lo contrario no se verá nada anormal y no se registrará nada.
John T

¿Cómo filtro el registro? Bloqueé todas las conexiones salientes, pero no aparece nada en ninguno de los registros allí, excepto los cambios en la configuración del firewall. ¿Qué tengo que hacer?
Maxim Zaslavsky

1
Mencioné en mi actualización de la pregunta original que solo se enumeran las IP de destino. Estoy buscando la ruta del archivo ejecutable que realizó la solicitud.
Maxim Zaslavsky

1
Después de hacer clic en "crear una vista personalizada", ¿qué elige? Quiere "Por log" o "Por fuente". Ninguno de estos parece ser lo que quiero. ¿Qué elijo? ¿Cómo lo apunto a "% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.log"?
Curtis Yallop

13

En Windows 7 y 8, primero debe habilitar la Auditoría de conexiones fallidas.

Política del equipo local (Ejecutar: GPEdit.msc)> Configuración del equipo> Configuración de Windows> Configuración de seguridad> Políticas locales> Política de auditoría> Acceso al objeto de auditoría: error

Ahora las conexiones interrumpidas junto con el nombre ejecutable correspondiente deberían aparecer en:

Registro de eventos> Registros de Windows> Seguridad:

  1. La plataforma de filtrado de Windows ha bloqueado un paquete: [Id. De evento: 5152]
  2. La plataforma de filtrado de Windows ha bloqueado una conexión: [Id. De evento: 5157]

Aquí encontrarás:

Nombre de la aplicación: \ device \ harddiskvolume2 \ program files \ xyz.exe


7

Estaba buscando el mismo problema, y ​​ni el Visor de eventos (sin eventos) ni la opción pfirewall.log (sin nombre del programa infractor) me ayudaron a identificar lo que está sucediendo.

Mirando a mi alrededor, aprecio el Notificador de Firewall de Windows , que incluso proporciona una GUI que muestra el programa ofensivo y permite generar reglas de excepción (es necesario que todas las WFN creen reglas, no excepciones al llamarlo por primera vez).


0

Prueba la utilidad Sysmon de SysInternals. Es simplemente un instalador y hace un registro bastante bueno. Los registros le proporcionarán todos los detalles, incluido el programa, la ruta del archivo, etc., que está iniciando la conexión. Espero eso ayude.


¡Bienvenido a Super User! Por favor lea la pregunta otra vez cuidadosamente. Su respuesta no responde a la pregunta original, que es configurar el registro en el Firewall de Windows. Entonces, no, tu respuesta no ayuda.
DavidPostill
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.