Алгоритм работы с журналом брандмауэра Windows в режиме повышенной безопасности (включение, настройка и отключение)⚓︎
Источники⚓︎
Брандмауэр Windows в режиме повышенной безопасности – диагностика и решение проблем
Microsoft
Настройка брандмауэра Защитник Windows с помощью журнала advanced Security Log
Информация⚓︎
Info
Максимальный размер файла журнала по умолчанию составляет 4096 КБ
Info
Путь к журналу по умолчанию: %windir%\system32\logfiles\firewall\pfirewall.log
. Вы можете выбрать другое расположение файла. Для этого нажмите на кнопку Обзор
Info
Указанному расположению должны быть назначены разрешения, позволяющие службе брандмауэра Защитника Windows
записывать в файл журнала
Запуск⚓︎
Нужно перейти к расширенным настройкам брандмауэра Windows:
Режим просмотра
- Откройте панель управления: ПКМ по меню
Пуск
→Панель управления
- Выберите
Брандмауэр Windows
- В окне фаервола выберите в левом навигационном меню
Дополнительные параметры
- Откройте панель управления: ПКМ по меню
Пуск
→Панель управления
- Выберите
Система и безопасность
→Брандмауэр Windows
- В окне фаервола выберите в левом навигационном меню
Дополнительные параметры
Доступ к настройкам журнала⚓︎
Выберите опцию Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)
Кликните правой кнопкой мыши по ней и выберите опцию Свойства
. Откроется окно с тремя вкладками: (Профиль домена, Частный профиль, Общий профиль) можно заметить, что их содержимое идентично, но относится к трем различным профилям, название которых указано в заголовке вкладки. На вкладке каждого профиля содержится кнопка настройки ведения журнала. Каждый журнал будет соответствовать отдельному профилю, но какой профиль используете вы?
Профили⚓︎
Для подключения к беспроводной сети Wi-Fi, когда домен задается контроллером домена. Если вы не уверены, что это значит, лучше не используйте данный профиль
Для подключения к частным сетям, включая домашние или персональные сети — именно данный профиль вы скорее всего будете использовать
Для подключения к общественным сетям, включая сети ресторанов, аэропортов, библиотек и других учреждений
Если вы используете компьютер в сети
- Перейдите на вкладку
Частный профиль
- Нажмите на кнопку
Настроить
в секцииВедение журнала
- Перейдите на вкладку
Общий профиль
- Нажмите на кнопку
Настроить
в секцииВедение журнала
Активация журнала событий⚓︎
Если вы хотите запустить регистрацию событий, в обоих выпадающих меню Записывать пропущенные пакеты
и Записывать успешные подключения
установите значение Да
и нажмите кнопку ОК
Для отключения функции логирования установите значение Нет (по умолчанию)
в обоих выпадающих меню
Warning
Постоянная работа функции может привести к проблемам производительности, поэтому активируйте ее только когда действительно нужно выполнить мониторинг подключений
Изучение журналов⚓︎
Теперь компьютер будет фиксировать сетевую активность, контролируемую фаерволом.
Для того, чтобы просмотреть логи:
- Перейдите в окно
Дополнительные параметры
- Выберите опцию
Наблюдение
в левом списке - В секции
Параметры ведения журнала
кликните наИмя файла
Затем откроется журнал сетевой активности. Содержимое журнала может запутать неопытного пользователя. Рассмотрим основное содержимое записей журнала:
Дата и время подключения⚓︎
Что произошло с подключением
Статус | Описание |
---|---|
ALLOW | Фаервол разрешил подключение |
DROP | Подключение было заблокировано фаерволом |
Info
Если вы столкнулись с проблемами подключения к сети отдельной программы, то сможете точно определить, что причина проблемы связана с политикой брандмауэра
Тип подключения: TCP
или UDP
⚓︎
- IP-адрес источника подключения (компьютера)
- IP-адрес получателя (например, веб-страницы) и используемый на компьютере сетевой порт
Info
Последняя запись позволяет выявлять порты, которые требуют открытия для работы ПО. Также следите за подозрительными подключениями — они могут быть совершены вредоносными программами
Был ли успешно отправлен или получен пакет данных⚓︎
Информация в журнале поможет выяснить причину проблем подключения
Журналы могут регистрировать и другую активность, например, целевой порт или номер подтверждения TCP
Если вам нужны подробности, ознакомьтесь со строкой #Fields
в верхней части лога, чтобы идентифицировать значение каждого показателя
Warning
Не забудьте отключить функцию ведения журнала после завершения работы
Создание собственной оснастки⚓︎
Выполните следующие действия:
Win + R
- В текстовом поле
Открыть
введитеmmc
и нажмите клавишуENTER
- Если появится диалоговое окно контроля учетных записей пользователей, подтвердите выполнение запрашиваемого действия и нажмите кнопку
Продолжить
- В меню
Консоль
выберите пунктДобавить
илиУдалить оснастку
. В спискеДоступные оснастки
выберите оснасткуБрандмауэр Windows в режиме повышенной безопасности
и нажмите кнопкуДобавить
. Нажмите кнопкуОК
. Повторите шаги с 1 по 6, чтобы добавить оснасткиУправление групповой политикой
иМонитор IP безопасности
Info
Перед тем как закрыть оснастку, сохраните консоль для дальнейшего использования
Устранение неполадок⚓︎
Info
Если журналы медленно появляются в Sentinel, вы можете отключить размер файла журнала. Но это приведет к увеличению использования ресурсов
Созданный: 2021-01-10