Zapora systemu Windows: rejestrowanie / powiadamianie o próbach wychodzących żądań

Próbuję skonfigurować zaporę systemu Windows z zabezpieczeniami zaawansowanymi, aby rejestrować i informować mnie, gdy programy próbują wysyłać żądania wychodzące. Wcześniej próbowałem zainstalować ZoneAlarm, który działał dla mnie cuda w tym systemie Windows XP. Ale teraz nie mogę zainstalować ZoneAlarm na Windows 7.

Czy możliwe jest monitorowanie monitorowania dziennika lub otrzymywanie powiadomień, gdy program spróbuje to zrobić, jeśli ustawię wszystkie połączenia wychodzące na automatyczne blokowanie, aby móc następnie utworzyć określoną regułę dla programu i zablokować ją?

Aktualizacja
Włączyłem wszystkie opcje rejestrowania dostępne w oknach właściwości Zapory systemu Windows z zaawansowaną konsolą bezpieczeństwa. Ale widzę tylko dzienniki w %systemroot%\system32\LogFiles\Firewall\pfirewall.logpliku, a nie w Podglądzie zdarzeń, jak sugerowała pierwsza odpowiedź.

Jednak dzienniki, które widzę, informują mnie tylko o docelowym adresie IP żądań lub odpowiedzi oraz o tym, czy połączenie było dozwolone, czy zablokowane. Ale nie mówi mi, z jakiego pliku wykonywalnego pochodzi. Chcę znaleźć ścieżkę do pliku wykonywalnego, z którego pochodzi każde zablokowane żądanie. Jak dotąd nie byłem w stanie.

Powinieneś to zobaczyć w Podglądzie zdarzeń . Najpierw musisz dostosować opcje rejestrowania w konsoli ustawień zaawansowanych :

W lewym okienku Podglądu zdarzeń rozwiń pozycję Dziennik aplikacji i usług -> Microsoft -> Windows -> Zapora systemu Windows z zabezpieczeniami zaawansowanymi :

Tam możesz utworzyć niestandardowy widok i filtrować dziennik tylko w przypadku prób połączeń wychodzących.

W Windows 7 i 8 musisz najpierw włączyć kontrolę nieudanych połączeń.

Zasady komputera lokalnego (Uruchom: GPEdit.msc)> Konfiguracja komputera> Ustawienia systemu Windows> Ustawienia zabezpieczeń> Zasady lokalne> Zasady inspekcji> Dostęp do obiektu inspekcji: błąd

Teraz porzucone połączenia wraz z odpowiednią nazwą pliku wykonywalnego powinny wyświetlać się w:

Dziennik zdarzeń> Dzienniki systemu Windows> Bezpieczeństwo:

1. Platforma filtrowania systemu Windows zablokowała pakiet: [Identyfikator zdarzenia: 5152]
2. Platforma filtrowania systemu Windows zablokowała połączenie: [Identyfikator zdarzenia: 5157]

Tutaj znajdziesz:

Nazwa aplikacji: \ device \ harddiskvolume2 \ program files \ xyz.exe

Szukałem tego samego problemu i ani Podgląd zdarzeń (brak zdarzeń), ani opcja pfirewall.log (bez nazwy programu naruszającego prawa) nie pomogły mi ustalić, co się dzieje.

Rozglądając się, lubię Windows Firewall Notifier , który zapewnia nawet GUI, który pokazuje program naruszający prawa i pozwala na generowanie reguł wyjątków (musisz podać wszystkie WFN, aby utworzyć reguły, a nie wyjątki przy pierwszym wywołaniu).

Wypróbuj narzędzie Sysmon z SysInternals. Jest to po prostu instalator i robi całkiem niezłe logowanie. Dzienniki zawierają wszystkie szczegóły, w tym program, ścieżkę do pliku itp., Który inicjuje połączenie. Mam nadzieję, że to pomoże.