Grundlagen
Wenn du das Windows Firewall Protokoll aktiviert hast, kannst du damit auch viele Informationen auslesen. Diese ist sinnvoll, wenn man mehr Informationen über gesendete, enthaltene und verworfene Pakete haben möchte.
Auf jeden Fall bietet diese einen Einblick, was hinsichtlich Netzwerk auf dem System alles läuft. Aber auch die Ereignisanzeige leistet gute Dienste, wenn man mehr Wissen möchte.
Windows Firewall Protokoll auslesen
Die Ereignisanzeige, welche man schnell über den Befehl eventvwr erreicht, ist die Anlaufstelle, wenn es um das Auslesen von Informationen geht. Man findet dort z. B. u.a., wann eine Regel erstellt oder auch geändert wurde. Sämtliche Informationen liegen dabei im folgenden Pfad:
Anwendungs- und Dienstprotokolle/Microsoft/Windows/Windows-Firewall with Advanced Security/Firewall
Dort gibt es insgesamt fünf Abschnitte
| Ereignis Abschnitt | Beschreibung |
|---|---|
| ConnectionSecurity | Gibt Informationen darüber aus, ob eine gesicherte Verbindung mit IPsec erstellt wurde. |
| ConnectionSecurityVerbose | Ausführliche Informationen, gerade für Administratoren interessant. Gibt zusätzliche Infos z. B. über die kryptografischen Gruppen. Hier wird sehr viel mitprotokolliert, weshalb man diese Einstellungen nicht dauerhaft eingeschaltet lassen sollte. |
| Firewall | Informationen bzgl. Regeländerungen, Profiländerungen, etc. |
| FirewallVerbose | Sehr ausführliche Informationen zum Betrieb der Firewall. Z. B. kann man hier auslesen, welche Firewall-Regeln beim Starten der Firewall geladen werden. Auch hier wird sehr viel mitprotokolliert, weshalb diese Einstellungen ebenfalls nicht dauerhaft eingeschaltet bleiben sollten. |
| Netzwerkisolierung Betriebsbereit | Welche Apps dürfen Daten in das Internet senden und welche nicht. Dabei sind verschiedene Filter realisiert. Informationen darüber findet man unter diesem Ereignis Abschnitt. |
Die Windows Firewall ist eine zentrale Sicherheitsinstanz, welche du auf deinem Windows-System unbedingt aktiv lassen solltest. Gerade in Bezug auf die immer häufigeren Cyberangriffe.
Beachte auch, dass ein Windows-System immer auf dem neuesten Stand ist. Natürlich kannst du auch Alternativen wie Norton360* oder F-Secure Internet Security* verwenden.
Fazit
Gerade für die Fehlersuche bzgl. diverser Netzwerkkonfigurationen sollte man das Windows Firewall Protokoll nicht außer Acht lassen. Hier kann es sein, dass durch eine gezielte Änderung der Protokollierung Fehler gefunden werden können.
Jedoch sollte man auch bedenken, dass man die meisten Einstellungen nach der Analyse wieder rückgängig macht, dass hier teilweise sehr viel dokumentiert wird.
Empfohlene Beiträge
Der Artikel gefällt mir gut. Vor allem, dass darauf aufmerksam machst, was wir alle mehr oder weniger vernachlässigen. Denn wir alle schauen vermutlich nur dann in die Logs, wenn es zu spät ist. Wenn etwas schon weit fortgeschritten ist. Ich habe früher das kommerzielle, aber teils auch Freeware Tools Netwrix genutzt, um Kunden die Analyse zu erleichtern, und auch um Alerts damit zu generieren.
Hallo André, ja Windows Boardmittel gibt es so einige, nur leider verwendet man diese kaum!