da.phhsnews.com


da.phhsnews.com / Sådan sporer du firewall-aktivitet med Windows Firewall-loggen

Sådan sporer du firewall-aktivitet med Windows Firewall-loggen


I processen med at filtrere internettrafik har alle firewalls en form for loggningsfunktion, der dokumenterer, hvordan firewall håndterer forskellige typer trafik. Disse logfiler kan give værdifuld information som kilde- og destinations-IP-adresser, portnumre og protokoller. Du kan også bruge logfilen til Windows Firewall til at overvåge TCP- og UDP-forbindelser og pakker, der er blokeret af firewallen.

Hvorfor og når Firewall Logging er nyttigt

  1. For at kontrollere, om nyligt tilføjede firewallregler virker korrekt eller at debugere dem hvis de ikke fungerer som forventet.
  2. For at afgøre, om Windows Firewall er årsagen til applikationsfejl. Med funktionen Firewall logging kan du tjekke for deaktiverede portåbninger, dynamiske portåbninger, analysere tabte pakker med push og presserende flag og analysere faldt pakker på sendebanen.
  3. For at hjælpe og identificere skadelig aktivitet - Med funktionen Firewall logging kan du kontrollere, om der opstår skadelig aktivitet i dit netværk eller ej, selv om du skal huske, at den ikke indeholder de oplysninger, der er nødvendige for at spore
  4. Hvis du bemærker gentagne mislykkede forsøg på at få adgang til din firewall og / eller andre højt profilerede systemer fra en IP-adresse (eller gruppe af IP-adresser), vil du måske have det at skrive en regel til at slippe alle forbindelser fra det IP-rum (sørg for, at IP-adressen ikke bliver spoofed).
  5. Udgående forbindelser, der kommer fra interne servere som f.eks. webservere, kan være en indikation på, at nogen bruger dit system til at lancering angreb mod computere placeret på andre netværk.

Sådan genereres logfilen

Som standard er logfilen deaktiveret, hvilket betyder, at der ikke er skrevet nogen information til logfilen. For at oprette en logfil skal du trykke på "Win key + R" for at åbne feltet Kør. Skriv "wf.msc" og tryk på Enter. Skærmen "Windows Firewall med avanceret sikkerhed" vises. Klik på "Egenskaber" på højre side af skærmen.

Der vises en ny dialogboks. Klik nu på fanen "Privat profil" og vælg "Tilpas" i "Logging Section".

Et nyt vindue åbnes, og fra det skærmbillede vælge din maksimale logstørrelse, placering, og om du kun logger på tabte pakker, succesfuld forbindelse eller begge. En tabt pakke er en pakke, som Windows Firewall har blokeret. En vellykket forbindelse henviser både til indgående forbindelser og til enhver forbindelse, du har lavet via internettet, men det betyder ikke altid, at en ubudende har forbindelse til din computer.

Som standard skriver Windows Firewall logposter til% SystemRoot% System32 LogFiles Firewall Pfirewall.logog gemmer kun de sidste 4 MB data. I de fleste produktionsmiljøer skriver denne log konstant til harddisken, og hvis du ændrer størrelsesgrænsen for logfilen (for at logge aktivitet over en længere periode), kan det medføre en præstationspåvirkning. Af denne grund bør du kun aktivere logføring, når du aktivt fejler et problem og derefter straks deaktivere logføring, når du er færdig.

Klik derefter på fanen "Offentlig profil" og gentag de samme trin, du gjorde for fanen "Privat profil" . Du har nu slået loggen til både private og offentlige netværksforbindelser. Logfilen oprettes i et W3C udvidet logformat (.log), som du kan undersøge med et tekstredigeringsprogram efter eget valg eller importere dem til et regneark. En enkelt logfil kan indeholde tusindvis af tekstindtastninger, så hvis du læser dem gennem Notesblok, skal du deaktivere ordindpakning for at bevare kolonneformatering. Hvis du ser logfilen i et regneark, vises alle felter logisk i kolonner for at gøre det nemmere at analysere.

På hovedskærmen "Windows Firewall og Advanced Security" skal du rulle ned, indtil du ser linket "Overvågning". Klik på filstien ved siden af ​​"Filnavn" i vinduet Detaljer under Loggeindstillinger. Loggen åbnes i Notesblok.

Tolkning af Windows Firewall-loggen

Windows Firewall-sikkerhedsloggen indeholder to sektioner. Overskriften giver statisk, beskrivende information om versionen af ​​logfilen og de tilgængelige felter. Logens krop er de kompilerede data, der indtastes som følge af trafik, der forsøger at krydse firewall. Det er en dynamisk liste, og nye poster vises stadig nederst i logfilen. Feltene er skrevet fra venstre til højre på tværs af siden. (-) bruges, når der ikke er nogen adgang til feltet.

Ifølge Microsoft Technet-dokumentationen indeholder overskriften til logfilen:

Version - Viser hvilken version af Windows Firewall-sikkerhedslogfilen der er installeret.
Software - Viser navnet på softwaren, der opretter loggen.
Tid - Angiver, at alle tidsstempeloplysninger i loggen er i lokal tid.
Felter - Viser en liste over felter, der er tilgængelige for sikkerhedslog indgange, hvis data er tilgængelig.

Mens logfilens krop indeholder:

dato - Datafeltet identificerer datoen i formatet ÅÅÅÅ-MM-DD.
tid - Den lokale tid vises i logfilen ved hjælp af formatet HH: MM: SS. Timerne henvises til i 24-timers format.
handling - Da firewall behandler trafik, registreres visse handlinger. De loggede handlinger er DROP for at droppe en forbindelse, ÅBN for at åbne en forbindelse, LUKK for at lukke en forbindelse, ÅBEN-INBOUND for en indgående session åbnet til den lokale computer og INFO-EVENTS-LOST for begivenheder behandlet af Windows Firewall, men blev ikke optaget i sikkerhedsloggen.
protokol - Den anvendte protokol som TCP, UDP eller ICMP.
src-ip - Viser kildens IP-adresse (computerens IP-adresse, der forsøger at etablere kommunikation).
dst-ip - Viser destinationens IP-adresse for et forbindelsesforsøg.
src-port - Portnummeret på den afsendelsescomputer, hvor forbindelsen blev forsøgt.
dst-port - Den port, som
tcpflags - Oplysninger om TCP-kontrolflag i TCP-overskrifter.
tcpsyn - Viser TCP-sekvensnummeret i pakken.
størrelse - Viser pakkestørrelse i byte.
tcpack - Viser TCP-bekræftelsesnummeret i pakken.
tcpwin - Viser TCP w Indtast størrelse i byte i pakken.
icmptype - Oplysninger om ICMP-meddelelserne.
icmpcode - Oplysninger om ICMP-meddelelserne.
info - Viser en post, der afhænger af den type handling, der opstod.
sti - Viser retningen for kommunikationen. De tilgængelige indstillinger er SEND, MODTAG, FORWARD og UNKNOWN.

Som du bemærker, er logindgangen virkelig stor og kan have op til 17 stykker information, der er forbundet med hver begivenhed. Imidlertid er kun de første otte informationsstykker vigtige for generel analyse. Med detaljerne i din hånd kan du nu analysere oplysningerne om ondsindet aktivitet eller fejlfinding af applikationsfejl.

Hvis du har mistanke om enhver ondsindet aktivitet, skal du åbne logfilen i Notesblok og filtrere alle logposterne med DROP i handlingsfeltet og Bemærk, om destinationens IP-adresse slutter med et andet tal end 255. Hvis du finder mange sådanne indgange, skal du notere destinationernes IP-adresser. Når du er færdig med at fejlfinding problemet, kan du deaktivere firewall-loggningen.

Fejlfinding af netværksproblemer kan være ret skræmmende til tider og en anbefalet god praksis, når fejlfinding af Windows Firewall er at aktivere de indbyggede logfiler. Selvom logfilen til Windows Firewall ikke er nyttig til at analysere det samlede sikkerhed i dit netværk, er det stadig en god praksis, hvis du vil overvåge, hvad der sker bag kulisserne.


Stop med at spilde penge på enhedsspecifikke bilopladere og start med at bruge en universel USB-oplader

Stop med at spilde penge på enhedsspecifikke bilopladere og start med at bruge en universel USB-oplader

Det er en historie lige så gammel som mobilteknologitiden: køb en ny telefon eller en gadget, køb en ny 12v billader for det, gentag igen næste år. Vi er her for at give dig nogle enkle råd. Stop det. Dagene til enhedsspecifikke billadere er forbi. Læs videre, da vi skitserer hvorfor du skal skifte og hvilke produkter vi anbefaler.

(how-to)

Kan software skelne mellem en stationær computer og en bærbar computer?

Kan software skelne mellem en stationær computer og en bærbar computer?

Mange softwarelicenser er ret begrænsende, når det kommer til, hvordan og hvor du kan installere et program, men hvor godt er disse programmer ved at bestemme hvilken type enhed de er installeret på? Dagens SuperUser Q & A-indlæg har svaret på en nysgerrig læsers spørgsmål. Dagens Spørgsmål og Svar-sessions kommer til vores side med SuperUser-en underafdeling af Stack Exchange, en community-driven gruppe af Q & A-websteder.

(how-to)