Estou tentando configurar o firewall do Windows com o Advanced Security para registrar e informar quando os programas estão tentando fazer solicitações de saída. Eu já tentei instalar o ZoneAlarm, que funcionou muito bem para mim com isso no Windows XP. Mas agora, não consigo instalar o ZoneAlarm no Windows 7.
É possível de alguma forma monitorar um log ou receber notificações quando um programa tenta fazer isso se eu definir todas as conexões de saída como auto-block, para que eu possa criar uma regra específica para o programa e bloqueá-la?
Atualizar
Eu habilitei todas as opções de log disponíveis através das janelas de propriedades do Firewall do Windows com o Advanced Security Console. Mas estou vendo apenas logs no arquivo %systemroot%\system32\LogFiles\Firewall\pfirewall.log , não no Visualizador de Eventos, como a primeira resposta sugerida.
No entanto, os logs que posso ver apenas informam os pedidos ou o IP de destino da resposta e se a conexão foi permitida ou bloqueada. Mas isso não me diz de que tipo de executável ele vem. Eu quero descobrir o caminho do arquivo do executável que cada solicitação bloqueada vem. Até agora, não consegui.
Você deve conseguir ver isso em Visualizar Eventos . Primeiro, você precisará ajustar as opções de registro no Console de configurações avançadas :
NopainelesquerdodoVisualizadordeEventos,expandaparaRegistrodeAplicativoseServiços->Microsoft->Windows->FirewalldoWindowscomSegurançaAvançada:
Lá, você pode criar uma visualização personalizada e filtrar o log apenas para tentativas de conexão de saída.
No Windows 7 e amp; 8 você precisa primeiro ativar a auditoria de conexões com falha.
Local Computer Policy (Run:
GPEdit.msc) > Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit object access : Failure
Agora, as conexões perdidas, juntamente com o nome do executável correspondente, devem aparecer em:
Event log > Windows Logs > Security:
Aqui, você encontrará:
Application Name: \device\harddiskvolume2\program files\xyz.exe
Eu estava procurando o mesmo problema, e nem o Event Viewer (nenhum evento) nem a opção pfirewall.log (nenhum nome do programa em violação) me ajudaram a identificar o que está acontecendo.
Olhando em volta, eu Notificador do Firewall do Windows , que fornece até mesmo uma GUI que mostra o programa ofensivo e permite gerar regras de exceção (você precisa dizer ao WFN para criar regras, não exceções ao chamá-lo pela primeira vez).
Tente o utilitário Sysmon da SysInternals. É um simples instalador e faz um bom registro. Os logs lhe fornecerão todos os detalhes, incluindo o programa, o caminho do arquivo, etc., que está iniciando a conexão. Espero que ajude.