Configurare la registrazione di Windows Firewall

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Per configurare Windows Firewall per registrare i pacchetti eliminati o le connessioni riuscite, è possibile usare:

• Provider di servizi di configurazione (CSP), usando una soluzione MDM come Microsoft Intune
• Criteri di gruppo

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.

Intune/CSP

1. Accedere all'interfaccia di amministrazione di Microsoft Intune
2. Passare a Endpoint security>Firewall>Create policy>Windows 10, Windows 11 e Windows Server>Windows Firewall>Create
3. Immettere un nome e, facoltativamente, una descrizione >Avanti
4. In Impostazioni di configurazione configurare per ogni tipo di percorso di rete (Dominio, Privato, Pubblico):
   • Percorso del file di log
   • Abilitare i pacchetti eliminati dal log
   • Abilitare le connessioni con esito positivo del log
   • Dimensioni massime file di log
5. Selezionare Avanti avanti>
6. Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare >Creazione successiva>

Suggerimento

Se si preferisce, è anche possibile usare un criterio del catalogo impostazioni per configurare la registrazione di Windows Firewall.

In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione firewall.

Profilo di rete	Impostazione
Dominio	Nome impostazione: EnableLogDroppedPackets URI OMA: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogDroppedPackets
Dominio	Nome impostazione: LogFilePath URI OMA: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogFilePath
Dominio	Nome impostazione: EnableLogSuccessConnections URI OMA: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogSuccessConnections
Dominio	Nome impostazione: LogMaxFileSize URI OMA: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogMaxFileSize
Private	Nome impostazione: EnableLogDroppedPackets URI OMA: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogDroppedPackets
Private	Nome impostazione: LogFilePath URI OMA: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogFilePath
Private	Nome impostazione: EnableLogSuccessConnections URI OMA: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogSuccessConnections
Private	Nome impostazione: LogMaxFileSize URI OMA: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogMaxFileSize
Public	Nome impostazione: EnableLogDroppedPackets URI OMA: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogDroppedPackets
Public	Nome impostazione: LogFilePath URI OMA: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogFilePath
Public	Nome impostazione: EnableLogSuccessConnections URI OMA: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogSuccessConnections
Public	Nome impostazione: LogMaxFileSize URI OMA: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogMaxFileSize

GPO

Per configurare un dispositivo con Criteri di gruppo, usare l'Editor Criteri di gruppo locali. Per configurare più dispositivi aggiunti ad Active Directory, creare o modificare un oggetto Criteri di gruppo e usare le impostazioni seguenti:

1. Espandere i nodiCriteri>di configurazione> computerImpostazioni di Windows Impostazioni>di> sicurezzaWindows Firewall con sicurezza avanzata
2. Nella sezione Panoramica del riquadro dei dettagli selezionare Proprietà di Windows Defender Firewall
3. Per ogni tipo di percorso di rete (Dominio, Privato, Pubblico), seguire questa procedura
   1. Selezionare la scheda corrispondente al tipo di percorso di rete
   2. In Registrazione selezionare Personalizza
   3. Il percorso predefinito per il log è %windir%\system32\logfiles\firewall\pfirewall.log. Se si desidera modificare questo percorso, deselezionare la casella di controllo Non configurato e immettere il percorso del nuovo percorso oppure selezionare Sfoglia per selezionare un percorso file
4. Le dimensioni massime predefinite del file per il log sono di 4.096 kilobyte (KB). Se si desidera modificare questa dimensione, deselezionare la casella di controllo Non configurata e immettere le nuove dimensioni in KB oppure usare le frecce su e giù per selezionare una dimensione. Il file non crescerà oltre queste dimensioni; quando viene raggiunto il limite, le voci di log precedenti vengono eliminate per fare spazio a quelle appena create.
5. Non viene eseguita alcuna registrazione fino a quando non si imposta una delle due opzioni seguenti:
   • Per creare una voce di log quando Windows Defender Firewall elimina un pacchetto di rete in ingresso, modificare i pacchetti eliminati dal log in Sì
   • Per creare una voce di log quando Windows Defender Firewall consente una connessione in ingresso, impostare Le connessioni con esito positivo del log su Sì
6. Selezionare OK due volte

I criteri di gruppo possono essere collegati a domini o unità organizzative, filtrati usando gruppi di sicurezza o filtrati tramite filtri WMI.

Importante

Il percorso specificato deve avere le autorizzazioni assegnate che consentono al servizio Windows Firewall di scrivere nel file di log.

Consigli

Ecco alcuni consigli per la configurazione della registrazione di Windows Firewall:

• Modificare le dimensioni di registrazione su almeno 20.480 KB (20 MB) per assicurarsi che il file di log non si riempia troppo rapidamente. La dimensione massima del log è 32.767 KB (32 MB)
• Per ogni profilo (Dominio, Privato e Pubblico) modificare il nome del file di log predefinito da %windir%\system32\logfiles\firewall\pfirewall.log a:
  • %windir%\system32\logfiles\firewall\pfirewall_Domain.log
  • %windir%\system32\logfiles\firewall\pfirewall_Private.log
  • %windir%\system32\logfiles\firewall\pfirewall_Public.log
• Registrare i pacchetti eliminati in Sì
• Registrare le connessioni riuscite in Sì

In un singolo sistema è possibile usare i comandi seguenti per configurare la registrazione:

netsh advfirewall>set allprofiles logging allowedconnections enable
netsh advfirewall>set allprofiles logging droppedconnections enable

Metodi di analisi

Esistono diversi metodi per analizzare i file di log di Windows Firewall. Ad esempio:

• Abilitare Windows Event Forwarding (WEF) a un agente di raccolta eventi di Windows (WEC). Per altre informazioni, vedere Usare l'inoltro di eventi di Windows per facilitare il rilevamento delle intrusioni
• Inoltrare i log al prodotto SIEM, ad esempio Azure Sentinel. Per altre informazioni, vedere Connettore Windows Firewall per Microsoft Sentinel
• Inoltrare i log a Monitoraggio di Azure e usare KQL per analizzare i dati. Per altre informazioni, vedere Agente di Monitoraggio di Azure nei dispositivi client Windows

Suggerimento

Se i log vengono visualizzati lentamente nella soluzione SIEM, è possibile ridurre le dimensioni del file di log. È sufficiente tenere presente che il ridimensionamento comporta un maggiore utilizzo delle risorse a causa dell'aumento della rotazione dei log.

Risolvere i problemi se il file di log non viene creato o modificato

In alcuni casi i file di log di Windows Firewall non vengono creati o gli eventi non vengono scritti nei file di log. Alcuni esempi in cui potrebbe verificarsi questa condizione includono:

• Autorizzazioni mancanti per il servizio Windows Defender Firewall (mpssvc) nella cartella o nei file di log
• Si desidera archiviare i file di log in una cartella diversa e le autorizzazioni sono mancanti o non vengono impostate automaticamente
• se la registrazione del firewall è configurata tramite le impostazioni dei criteri, può accadere che
  • La cartella di log nel percorso %windir%\System32\LogFiles\firewall predefinito non esiste
  • la cartella di log in un percorso personalizzato non esiste

In entrambi i casi, è necessario creare la cartella manualmente o tramite script e aggiungere le autorizzazioni per mpssvc.

New-Item -ItemType Directory -Path $env:windir\System32\LogFiles\Firewall

Verificare se mpssvcè presente FullControl nella cartella e nei file. Da una sessione di PowerShell con privilegi elevati usare i comandi seguenti, assicurandosi di usare il percorso corretto:

$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
(Get-ACL -Path $LogPath).Access | Format-Table IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags -AutoSize

L'output dovrebbe mostrare NT SERVICE\mpssvc la presenza di FullControl:

IdentityReference      FileSystemRights AccessControlType IsInherited InheritanceFlags
-----------------      ---------------- ----------------- ----------- ----------------
NT AUTHORITY\SYSTEM         FullControl             Allow       False    ObjectInherit
BUILTIN\Administrators      FullControl             Allow       False    ObjectInherit
NT SERVICE\mpssvc           FullControl             Allow       False    ObjectInherit

In caso contrario, aggiungere le autorizzazioni FullControl per mpssvc alla cartella, alle sottocartelle e ai file. Assicurarsi di usare il percorso corretto.

$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
$NewAcl = Get-Acl -Path $LogPath

$identity = "NT SERVICE\mpssvc"
$fileSystemRights = "FullControl"
$inheritanceFlags = "ContainerInherit,ObjectInherit"
$propagationFlags = "None"
$type = "Allow"

$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritanceFlags, $propagationFlags, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList

$NewAcl.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path $LogPath -AclObject $NewAcl

Riavviare il dispositivo per riavviare il servizio Windows Defender Firewall .