Wskazówki dotyczące rozwiązywania problemów z zaporą systemu Windows z zabezpieczeniami zaawansowanymi

2025-01-15

Ten artykuł jest przeznaczony do rozwiązywania problemów związanych z zaporą systemu Windows z zabezpieczeniami zaawansowanymi.

Lista kontrolna rozwiązywania problemów

Zagadnienia dotyczące reguł zapory

Tylko jedna reguła zapory jest używana do określenia, czy pakiet sieciowy jest dozwolony, czy porzucany. Jeśli pakiet sieciowy jest zgodny z wieloma regułami, używana reguła jest wybierana przy użyciu następującego pierwszeństwa:

Reguły określające akcję Zezwalaj, jeśli bezpieczne, a także opcję Blokuj przesłonięcie
Reguły określające akcję Blokuj
Reguły określające akcję Zezwalaj

W węźle Monitorowanie są wyświetlane tylko aktualnie aktywne reguły. Reguły mogą nie być wyświetlane na liście, jeśli:

Reguła jest wyłączona.
Jeśli domyślne zachowanie zapory dla ruchu przychodzącego lub wychodzącego jest skonfigurowane tak, aby zezwalać na ruch, który nie jest blokowany przez regułę, reguły zezwalania dla określonego kierunku nie są wyświetlane.

Domyślnie reguły zapory w grupach zidentyfikowanych na poniższej liście są włączone. Dodatkowe reguły mogą zostać włączone po zainstalowaniu pewnych funkcji lub programów systemu Windows.

Podstawowe operacje sieciowe — wszystkie profile
Pomoc zdalna — reguły protokołu TCP DCOM i RA Server tylko dla profilu domeny, pozostałe reguły dla profilów domeny i prywatnego
Odnajdywanie sieci — tylko profil prywatny

Włączanie zdarzeń inspekcji

Użyj auditpol.exe , aby zmodyfikować zasady inspekcji komputera lokalnego. Za pomocą auditpol narzędzia wiersza polecenia można włączyć lub wyłączyć różne kategorie i podkategorie zdarzeń, a następnie wyświetlić zdarzenia w przystawce Podgląd zdarzeń.

Aby uzyskać listę kategorii zdarzeń rozpoznanych przez narzędzie auditpol, uruchom następujące polecenie w wierszu polecenia:
```
auditpol.exe /list /category
```
Aby uzyskać listę podkategorii w kategorii (w tym przykładzie użyto kategorii Zmiana zasad), uruchom następujące polecenie w wierszu polecenia:
```
auditpol.exe /list /category:"Policy Change"
```
Aby ustawić kategorię i podkategorię do włączenia, wpisz następujące polecenie w wierszu polecenia:
```
auditpol.exe /set /category:"CategoryName" /SubCategory:"SubcategoryName"
```

Konfigurowanie pliku dziennika zapory dla profilu

W drzewie konsoli przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi wybierz pozycję Zapora systemu Windows z zabezpieczeniami zaawansowanymi, a następnie wybierz pozycję Właściwości w okienku Akcje .
Wybierz kartę profilu, dla którego chcesz skonfigurować rejestrowanie (domena, prywatna lub publiczna), a następnie wybierz pozycję Dostosuj.
Określ nazwę i lokalizację.
Określ limit rozmiaru pliku dziennika (od 1 do 32767 kilobajtów).
Wybierz pozycję Tak dla pozycji Porzucone pakiety dziennika.
Wybierz pozycję Tak, aby uzyskać informacje o pomyślnych połączeniach dziennika, a następnie wybierz przycisk OK.

Tworzenie plików tekstowych statystyki sieci i listy zadań

W wierszu polecenia wpisz netstat -ano > netstat.txt, a następnie naciśnij klawisz Enter.
W wierszu polecenia wpisz tasklist > tasklist.txt, a następnie naciśnij klawisz Enter.
Jeśli chcesz utworzyć plik tekstowy dla usług, a nie programów, w wierszu polecenia wpisz tasklist /svc > tasklist.txt.
Otwórz pliki tasklist.txt i netstat.txt.
W pliku tasklist.txt zapisz identyfikator procesu (PID) dla procesu, którego dotyczy rozwiązywany problem. Porównaj identyfikator PID z identyfikatorem w pliku netstat.txt. Zapisz używany protokół. Informacje o używanym protokole mogą być przydatne podczas przeglądania informacji w pliku dziennika zapory.

Sprawdzanie, czy zapora i usługi IPsec działają

Aby zapora systemu Windows z zabezpieczeniami zaawansowanymi działała poprawnie, należy uruchomić następujące usługi:

Podstawowy aparat filtrowania
Klient zasad grupy
Moduły obsługi kluczy IPsec IKE i AuthIP
Pomoc IP
Agent zasad IPsec
Rozpoznawanie lokalizacji sieciowej
Usługa listy sieci
Zapora systemu Windows

Typowe problemy i rozwiązania

Zbieranie danych

Przed skontaktowaniem się z pomocą techniczną firmy Microsoft możesz zebrać informacje o problemie.

Wymagania wstępne

Usługa TSS musi być uruchamiana przez konta z uprawnieniami administratora w systemie lokalnym, a umowa EULA musi zostać zaakceptowana (po zaakceptowaniu umowy EULA usługa TSS nie wyświetli monitu ponownie).
Zalecamy zasady wykonywania programu PowerShell komputera RemoteSigned lokalnego.

Uwaga 16.

Jeśli bieżące zasady wykonywania programu PowerShell nie zezwalają na uruchamianie TSS, wykonaj następujące czynności:

RemoteSigned Ustaw zasady wykonywania dla poziomu procesu, uruchamiając polecenie cmdlet PS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned.
Aby sprawdzić, czy zmiana zostanie w życie, uruchom polecenie cmdlet PS C:\> Get-ExecutionPolicy -List.
Ponieważ uprawnienia na poziomie procesu mają zastosowanie tylko do bieżącej sesji programu PowerShell, po zamknięciu danego okna programu PowerShell, do przypisanego uprawnienia dla poziomu procesu powróci również do wcześniej skonfigurowanego stanu.

Zbieranie kluczowych informacji przed skontaktowaniem się z pomocą techniczną firmy Microsoft

Pobierz usługę TSS na wszystkich węzłach i rozpakuj ją w folderze C:\tss .
Otwórz folder C:\tss z wiersza polecenia programu PowerShell z podwyższonym poziomem uprawnień.
Uruchom ślady przy użyciu następującego polecenia cmdlet:
```
TSS.ps1 -Scenario NET_WFP
```
Zaakceptuj umowy EULA, jeśli ślady są uruchamiane po raz pierwszy na komputerze.
Zezwalaj na nagrywanie (PSR lub wideo).
Odtwórz problem przed wprowadzeniem Y.

Uwaga 16.

Jeśli zbierasz dzienniki zarówno na kliencie, jak i serwerze, przed odtworzeniem problemu zaczekaj na ten komunikat w obu węzłach.
Wprowadź Y , aby zakończyć zbieranie dzienników po odtworzeniu problemu.

Ślady będą przechowywane w pliku zip w folderze C:\MS_DATA , który można przekazać do obszaru roboczego na potrzeby analizy.