Eu li muitos artigos e posts semelhantes sobre como habilitar o log de firewall do Windows. Eu tenho servidor Win2k8r2 sem qualquer Active Directory, DC, domínios e outras coisas complicadas. Quase todo este artigo faz referência a GPO e permite isso. O problema eu ainda não tenho no meu sistema. Eu tentei chamar "gpmc.msc" do meu console, mas parece que eu deveria intall antes de usar.
Depois, defino um local do arquivo de log do firewall do Windows como D: \ pfirewalll.log. Cria dois arquivos: prifrewall.log e pfirewall.log.old. Eles possuem as permissões necessárias do sistema de arquivos. E eles estão sempre em branco!
Eu não sei se existem outros mecanismos para ativá-lo. Devo aproveitar algo no registro do Windows para torná-lo vivo?
Obrigado antecipadamente, pessoal!
Existem 3 perfis disponíveis (domínio / privado / público). Você pode ver qual é "ativo" no nó superior "Firewall do Windows com Segurança Avançada" do MMC. Certifique-se de que o perfil que está ativo é aquele em que você ativou e configurou o registro do firewall. Você pode configurar as mesmas configurações para todos os 3 perfis ou ter uma configuração única para cada um.
Na interface do firewall, onde você configurou o registro, você o configurou para realmente registrar os pacotes?
- > "Registrar pacotes descartados" e "Registrar conexões bem-sucedidas" em SIM?
Descobri que os visualizadores de log, como o CM Trace ou o Trace 32, têm problemas para visualizar mais do que os cabeçalhos de log do firewall. Se você abri-lo com o bloco de notas, acho que você verá que está registrando corretamente.
Uma coisa a verificar: o arquivo > 0KB? Nesse caso, parece que vários aplicativos não estão verificando a permissão READ e, em vez disso, apenas exibindo um arquivo "vazio".
O arquivo estava sempre sendo criado 'herdar permissões de segurança' desativado e explicitamente não tinha acesso de leitura para minha conta de usuário (apesar de ser um administrador local).
Depois de adicionar explicitamente minha conta de usuário, posso abrir e visualizar o conteúdo.
No entanto, se o Windows recriar o log novamente (após a reinicialização ou alteração das configurações de log), as permissões serão revertidas.
No meu caso, aconteceu depois de promover um Windows 2012R2 como um controlador de domínio.
A adição da conta NT SERVICE \ MPSSVC com permissões de Controle Total na pasta C: \ Windows \ System32 \ LogFiles \ Firewall e a reinicialização do servidor solucionaram meu problema.