Grundlagen
In einem der letzten Artikel habe ich erläutert, wie man die Protokollierung der Windows Firewall aktiviert. Diese ist sinnvoll, wenn man mehr Informationen über gesendete, enthaltenen und verworfenen Pakete haben möchte.
Auf jeden Fall bietet diese einen Einblick, was hinsichtlich Netzwerk auf dem System alles läuft. Aber auch die Ereignisanzeige leistet gute Dienste, wenn man mehr Wissen möchte.
Auslesen von Informationen aus der Ereignisanzeige
Die Ereignisanzeige, welche man schnell über den Befehl eventvwr erreicht, ist die Anlaufstelle, wenn es um das Auslesen von Informationen geht. Man findet dort z.B. u.a. wann eine Regel erstellt oder auch geändert wurde. Sämtliche Informationen liegen dabei im folgenden Pfad:
Anwendungs- und Dienstprotokolle/Microsoft/Windows/Windows-Firewall with Advanced Security/Firewall
Dort gibt es insgesamt fünf Abschnitte
| Ereignis Abschnitt | Beschreibung |
|---|---|
| ConnectionSecurity | Gibt Informationen darüber aus, ob eine gesicherte Verbindung mit IPsec erstellt wurde. |
| ConnectionSecurityVerbose | Ausführlicher Informationen, gerade für Administratoren interessant. Gibt zusätzliche Infos z.B. über die kryptografischen Gruppen. Hier wird sehr viel mitprotokolliert, weshalb man diese Einstellungen nicht dauerhaft eingeschaltet lassen sollte. |
| Firewall | Informationen bzgl. Regeländerungen, Profiländerungen, etc. |
| FirewallVerbose | Sehr ausführlich Informationen zum Betrieb der Firewall. Z.B. kann man hier auslesen, welche Firewall Regeln beim Starten der Firewall geladen werden. Auch hier wird sehr viel mitprotokolliert, weshalb diese Einstellungen ebenfalls nicht dauerhaft eingeschaltet bleiben sollte. |
| Netzwerkisolierung Betriebsbereit | Welche Apps dürfen Daten in das Internet senden und welche nicht. Dabei sind verschiedene Filter realisiert. Informationen darüber findet man unter diesem Ereignis Abschnitt |
Fazit
Gerade für die Fehlersuche bzgl. diverser Netzwerkkonfigurationen sollte man die Protokollierung der Firewall nicht außer Acht lassen. Hier kann es sein, dass durch eine gezielte Änderung der Protokollierung der Fehler gefunden werden kann.
Jedoch sollte man auch bedenken, dass man die meisten Einstellungen nach der Analyse wieder rückgängig macht, dass hier teilweise sehr viel dokumentiert wird.
Steigere dein Wissen
Kostenlose Befehlsreferenzen und E-Books herunterladen
Der Artikel gefällt mir gut. Vor allem, dass darauf aufmerksam machst, was wir alle mehr oder weniger vernachlässigen. Denn wir alle schauen vermutlich nur dann in die Logs, wenn es zu spät ist. Wenn etwas schon weit fortgeschritten ist. Ich habe früher das kommerzielle, aber teils auch Freeware Tools Netwrix genutzt, um Kunden die Analyse zu erleichtern, und auch um Alerts damit zu generieren.
Hallo André, ja Windows Boardmittel gibt es so einige, nur leider verwendet man diese kaum!