Настройка ведения журнала брандмауэра Windows

• Применяется к:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Чтобы настроить брандмауэр Windows для регистрации удаленных пакетов или успешных подключений, можно использовать:

• Поставщик служб конфигурации (CSP), использующий решение MDM, например Microsoft Intune
• Групповая политика (GPO)

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Intune/CSP

1. Вход в Центр администрирования Microsoft Intune
2. Перейдите в раздел Созданиеполитики> безопасности конечных точек>>Windows 10, Windows 11 иСоздание брандмауэра> Windows Server.>
3. Введите имя и, при необходимости, описание >Далее
4. В разделе Параметры конфигурации для каждого типа сетевого расположения (домен, частное, общедоступное) настройте:
   • Путь к файлу журнала
   • Включение удаленных пакетов журнала
   • Включение подключений успешного выполнения журнала
   • Максимальный размер файла журнала
5. Нажмите кнопку Далее>
6. Назначьте политику группе, содержащей в качестве участников устройства или пользователей, для которого требуется настроить >следующее>создание.

Совет

При желании можно также использовать политику каталога параметров для настройки ведения журнала брандмауэра Windows.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика служб CSP брандмауэра.

Профиль сети	Параметр
Домен	Имя параметра: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogDroppedPackets
Домен	Имя параметра: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogFilePath
Домен	Имя параметра: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogSuccessConnections
Домен	Имя параметра: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogMaxFileSize
Private (Частное)	Имя параметра: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogDroppedPackets
Private (Частное)	Имя параметра: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogFilePath
Private (Частное)	Имя параметра: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogSuccessConnections
Private (Частное)	Имя параметра: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogMaxFileSize
Public (Общее)	Имя параметра: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogDroppedPackets
Public (Общее)	Имя параметра: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogFilePath
Public (Общее)	Имя параметра: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogSuccessConnections
Public (Общее)	Имя параметра: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogMaxFileSize

Объект групповой политики

Чтобы настроить устройство с помощью групповой политики, используйте локальный групповая политика Редактор. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:

1. Разверните узлыПолитики>конфигурации>компьютера Параметры>Windows Параметры> безопасностиБрандмауэр Windows в режиме повышенной безопасности
2. В области сведений в разделе Обзор выберите свойства Защитник Windows брандмауэра.
3. Для каждого типа сетевого расположения (домен,частное, общедоступное) выполните следующие действия.
   1. Выберите вкладку, соответствующую типу сетевого расположения.
   2. В разделе Ведение журнала выберите Настроить.
   3. По умолчанию для журнала используется %windir%\system32\logfiles\firewall\pfirewall.logпуть . Если вы хотите изменить этот путь, снимите флажок Не настроено проверка и введите путь к новому расположению или нажмите кнопку Обзор, чтобы выбрать расположение файла.
4. По умолчанию максимальный размер файла журнала составляет 4096 килобайт (КБ). Если вы хотите изменить этот размер, снимите флажок Не настроено проверка и введите новый размер в КБ или используйте стрелки вверх и вниз, чтобы выбрать размер. Файл не превысит этот размер. При достижении ограничения старые записи журнала удаляются, чтобы освободить место для вновь созданных.
5. Журнал не ведется, пока вы не настроите следующие два параметра.
   • Чтобы создать запись журнала, когда брандмауэр Защитник Windows удаляет входящий сетевой пакет, измените значение Удаленные пакеты журнала на Да.
   • Чтобы создать запись журнала, когда брандмауэр Защитник Windows разрешает входящее подключение, измените значение Журнал успешных подключений на Да.
6. Дважды нажмите кнопку ОК.

Групповые политики можно связать с доменами или подразделениями, отфильтровать с помощью групп безопасности или отфильтровать с помощью фильтров WMI.

Важно.

Указанное расположение должно иметь назначенные разрешения, позволяющие службе брандмауэра Windows записывать данные в файл журнала.

Рекомендации

Ниже приведены некоторые рекомендации по настройке ведения журнала брандмауэра Windows.

• Измените размер журнала на не менее 20 480 КБ (20 МБ), чтобы файл журнала не заполнял слишком быстро. Максимальный размер журнала — 32 767 КБ (32 МБ).
• Для каждого профиля (домен, частный и общедоступный) измените имя файла журнала по умолчанию на %windir%\system32\logfiles\firewall\pfirewall.log :
  • %windir%\system32\logfiles\firewall\pfirewall_Domain.log
  • %windir%\system32\logfiles\firewall\pfirewall_Private.log
  • %windir%\system32\logfiles\firewall\pfirewall_Public.log
• Журнал отброшенных пакетов в да
• Регистрация успешных подключений к да

В одной системе для настройки ведения журнала можно использовать следующие команды:

netsh advfirewall>set allprofiles logging allowedconnections enable
netsh advfirewall>set allprofiles logging droppedconnections enable

Методы синтаксического анализа

Существует несколько методов анализа файлов журнала брандмауэра Windows. Пример:

• Включите пересылку событий Windows (WEF) в сборщик событий Windows (WEC). Дополнительные сведения см. в статье Использование переадресации событий Windows для помощи при обнаружении вторжений.
• Перенаправьте журналы в продукт SIEM, например в Azure Sentinel. Дополнительные сведения см. в статье Соединитель брандмауэра Windows для Microsoft Sentinel.
• Перенаправлять журналы в Azure Monitor и использовать KQL для анализа данных. Дополнительные сведения см. в статье Агент Azure Monitor на клиентских устройствах Windows.

Совет

Если журналы отображаются в решении SIEM медленно, можно уменьшить размер файла журнала. Просто остерегайтесь, что уменьшение объема приведет к увеличению использования ресурсов из-за увеличения смены журналов.

Устранение неполадок, если файл журнала не был создан или изменен

Иногда файлы журнала брандмауэра Windows не создаются или события не записываются в файлы журнала. Ниже приведены некоторые примеры, когда это условие может возникнуть.

• Отсутствуют разрешения для службы брандмауэра Защитник Windows (mpssvc) в папке или файлах журнала
• Вы хотите сохранить файлы журнала в другой папке, и разрешения отсутствуют или не задаются автоматически.
• Если ведение журнала брандмауэра настроено с помощью параметров политики, это может произойти.
  • Папка журнала в расположении %windir%\System32\LogFiles\firewall по умолчанию не существует
  • Папка журнала в пользовательском пути не существует

В обоих случаях необходимо создать папку вручную или с помощью скрипта и добавить разрешения для mpssvc.

New-Item -ItemType Directory -Path $env:windir\System32\LogFiles\Firewall

Проверьте, есть ли mpssvc в папке и файлах значение FullControl . В сеансе PowerShell с повышенными привилегиями используйте следующие команды, чтобы обеспечить правильный путь:

$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
(Get-ACL -Path $LogPath).Access | Format-Table IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags -AutoSize

В выходных данных должно отображаться NT SERVICE\mpssvc значение FullControl:

IdentityReference      FileSystemRights AccessControlType IsInherited InheritanceFlags
-----------------      ---------------- ----------------- ----------- ----------------
NT AUTHORITY\SYSTEM         FullControl             Allow       False    ObjectInherit
BUILTIN\Administrators      FullControl             Allow       False    ObjectInherit
NT SERVICE\mpssvc           FullControl             Allow       False    ObjectInherit

Если нет, добавьте разрешения FullControl для mpssvc папки, вложенных папок и файлов. Убедитесь, что используется правильный путь.

$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
$NewAcl = Get-Acl -Path $LogPath 

$identity = "NT SERVICE\mpssvc"
$fileSystemRights = "FullControl"
$inheritanceFlags = "ContainerInherit,ObjectInherit"
$propagationFlags = "None"
$type = "Allow"

$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritanceFlags, $propagationFlags, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList

$NewAcl.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path $LogPath -AclObject $NewAcl

Перезапустите устройство, чтобы перезапустить службу брандмауэра Защитник Windows.