O firewall do Windows bloqueia a conexão de saída permitida por uma regra

3

Configurei o Firewall do Windows para bloquear todas as conexões de saída. Em seguida, criei regras "allow" para permitir que aplicativos certains criem conexões de saída. Infelizmente parece que algumas conexões que deveriam ser permitidas ainda estão bloqueadas e eu não entendo o porquê.

Eu tenho uma regra simples para permitir o relatório de problemas do Windows:

  • Ativado: sim
  • Ação: permitir a conexão
  • Programas: C:\windows\system32\wermgr.exe
  • Tipo de protocolo: TCP (6)
  • Porta local: todas as portas
  • Porta remota: todas as portas
  • Endereço IP local: qualquer endereço IP
  • Endereço IP remoto: qualquer endereço IP
  • Perfis: domínio, privado, público

No entanto, depois de criar esta regra, uma conexão foi bloqueada e registrada no log de eventos:

The Windows Filtering Platform has blocked a connection.

Application Information:
    Process ID:     7440
    Application Name:   \device\harddiskvolume3\windows\system32\wermgr.exe

Network Information:
    Direction:      Outbound
    Source Address:     192.168.1.23
    Source Port:        31532
    Destination Address:    65.55.53.190
    Destination Port:       80
    Protocol:       6

Filter Information:
    Filter Run-Time ID: 184645
    Layer Name:     Connect
    Layer Run-Time ID:  48

Dada a regra criada especificamente para permitir a conexão do wermgr.exe , não entendo por que a conexão foi bloqueada. Como posso modificar a regra para permitir que a conexão seja bem-sucedida?

A propósito, isso não é um problema isolado para wermgr.exe . De vez em quando, vejo conexões bloqueadas para outros aplicativos, embora eu tenha criado regras para elas também. Felizmente, na maioria das vezes, as regras funcionam como esperado.

    
por Martin Liversage 21.07.2012 / 18:36

1 resposta

5

Depois de pedir ajuda no fórum Plataforma de filtragem do Windows (WFP) no MSDN Aprendi que você pode capturar a atividade do WFP (que o firewall emprega) usando os seguintes comandos:

netsh wfp capture start
netsh wfp capture stop

O arquivo de log resultante é XML, o que o torna legível e, desse arquivo, aprendi que wermgr.exe está bloqueado pela regra Bloco de saída padrão do WSH com a descrição Bloqueia todo o tráfego de saída para serviços que foram endurecidos pela rede . Aparentemente, essa regra tem precedência sobre minha regra de "permissão".

Não sei exatamente por que wermgr.exe é afetado pela regra padrão do Windows Service Hardening, mas presumo que um dos serviços reforçados execute wermgr.exe para executar uma tarefa de conexão com o servidor em 65.55.53.190 (a Endereço IP da Microsoft) e wermgr.exe é bloqueado assim como o serviço seria.

    
por 28.07.2012 / 18:22