Nel processo di filtraggio del traffico Internet, tutti i firewall dispongono di un tipo di funzionalità di registrazione che documenta il modo in cui il firewall ha gestito vari tipi di traffico. Questi registri possono fornire informazioni preziose come indirizzi IP di origine e di destinazione, numeri di porta e protocolli. È inoltre possibile utilizzare il file di registro di Windows Firewall per monitorare le connessioni TCP e UDP e i pacchetti bloccati dal firewall.

Perché e quando la registrazione del firewall è utile

1. Per verificare se le regole del firewall aggiunte di recente funzionano correttamente o eseguirne il debug se non funzionano come previsto.
2. Per determinare se Windows Firewall è la causa degli errori dell'applicazione - Con la funzionalità di registrazione del firewall è possibile verificare aperture di porta disabilitate, aperture di porte dinamiche, analizzare pacchetti abbandonati con flag urgenti e urgenti e analizzare pacchetti scartati sul percorso di invio.
3. Per aiutare e identificare attività dannose - Con la funzionalità di registrazione del firewall è possibile controllare se nella propria rete si verificano attività dannose o meno, anche se è necessario ricordare che non fornisce le informazioni necessarie per tracciare giù la fonte dell'attività.
4. Se noti ripetuti tentativi infruttuosi di accedere al tuo firewall e / o ad altri sistemi di alto profilo da un indirizzo IP (o gruppo di indirizzi IP), allora potresti volere scrivere una regola per eliminare tutte le connessioni da quello spazio IP (assicurandosi che l'indirizzo IP non venga falsificato).
5. Le connessioni in uscita provenienti da server interni come i server Web potrebbero indicare che qualcuno sta usando il tuo sistema per lanciare attacchi contro computer situati su altre reti.

Come generare il file di registro

Per impostazione predefinita, il file di registro è disabilitato, il che significa che nessuna informazione viene scritta nel file di registro. Per creare un file di registro premere "Tasto Win + R" per aprire la casella Esegui. Digita "wf.msc" e premi Invio. Viene visualizzata la schermata "Windows Firewall con sicurezza avanzata". Sul lato destro dello schermo, fare clic su "Proprietà".

Viene visualizzata una nuova finestra di dialogo. Ora fai clic sulla scheda "Profilo Privato" e seleziona "Personalizza" nella "Sezione Registrazione".

Si apre una nuova finestra e da quella schermata scegli la dimensione massima del registro, la posizione e se registrare solo pacchetti scartati, connessione riuscita o entrambi. Un pacchetto eliminato è un pacchetto bloccato da Windows Firewall. Una connessione riuscita si riferisce sia alle connessioni in entrata sia a tutte le connessioni effettuate su Internet, ma non sempre significa che un intruso si è connesso correttamente al computer.

Per impostazione predefinita, Windows Firewall scrive le voci di registro su% SystemRoot% System32 LogFiles Firewall Pfirewall.loge memorizza solo gli ultimi 4 MB di dati. Nella maggior parte degli ambienti di produzione, questo registro scriverà costantemente sul disco rigido e, se si modifica il limite di dimensioni del file di registro (per registrare l'attività per un lungo periodo di tempo), si potrebbe verificare un impatto sulle prestazioni. Per questo motivo, è necessario abilitare la registrazione solo quando si risolve attivamente un problema e quindi disattivare immediatamente la registrazione al termine.

Quindi, fare clic sulla scheda "Profilo pubblico" e ripetere gli stessi passaggi per la scheda "Profilo privato" . Ora hai attivato il registro per le connessioni di rete sia private che pubbliche. Il file di registro verrà creato in un formato di registro esteso (.log) W3C che è possibile esaminare con un editor di testo a scelta o importarlo in un foglio di calcolo. Un singolo file di registro può contenere migliaia di voci di testo, quindi se le stai leggendo tramite Blocco note, disabilita il ritorno a capo delle parole per preservare la formattazione della colonna. Se si sta visualizzando il file di registro in un foglio di calcolo, tutti i campi verranno logicamente visualizzati in colonne per semplificare l'analisi.

Nella schermata principale "Windows Firewall con protezione avanzata", scorrere verso il basso fino a visualizzare il collegamento "Monitoraggio". Nel riquadro Dettagli, in "Impostazioni di registrazione", fai clic sul percorso del file accanto a "Nome file". Il registro si apre in Blocco note.

Interpretazione del registro di Windows Firewall

Il registro di sicurezza di Windows Firewall contiene due sezioni. L'intestazione fornisce informazioni statiche e descrittive sulla versione del registro e i campi disponibili. Il corpo del registro sono i dati compilati inseriti come risultato del traffico che tenta di attraversare il firewall. È un elenco dinamico e le nuove voci continuano a essere visualizzate nella parte inferiore del registro. I campi sono scritti da sinistra a destra in tutta la pagina. L'opzione (-) viene utilizzata quando non è disponibile alcuna voce per il campo.

In base alla documentazione di Microsoft Technet, l'intestazione del file di registro contiene:

Versione - Visualizza la versione del registro di sicurezza di Windows Firewall installata.
Software: visualizza il nome del software che crea il registro.
Ora: indica che tutte le informazioni relative al timestamp nel registro si trovano nell'ora locale.
Campi: visualizza un elenco di campi disponibili per il registro di sicurezza voci, se i dati sono disponibili.

Mentre il corpo del file di registro contiene:

data - Il campo data identifica la data nel formato AAAA-MM-GG.
ora - L'ora locale viene visualizzata in il file di registro che utilizza il formato HH: MM: SS. Le ore sono riferite nel formato 24 ore.
azione - Mentre il firewall elabora il traffico, alcune azioni vengono registrate. Le azioni registrate sono DROP per il rilascio di una connessione, OPEN per l'apertura di una connessione, CLOSE per la chiusura di una connessione, OPEN-INBOUND per una sessione in entrata aperta al computer locale e INFO-EVENTS-LOST per gli eventi elaborati da Windows Firewall, ma non sono stati registrati nel registro di sicurezza. Protocollo
- Il protocollo utilizzato come TCP, UDP o ICMP.
src-ip - Visualizza l'indirizzo IP di origine (l'indirizzo IP del computer che tenta di stabilire una comunicazione).
dst-ip - Visualizza l'indirizzo IP di destinazione di un tentativo di connessione.
src-port - Il numero di porta sul computer mittente da cui è stata tentata la connessione.
dst-port - La porta a cui è invio di computer stava cercando di stabilire una connessione.
size - Visualizza la dimensione del pacchetto in byte.
tcpflags - Informazioni sui flag di controllo TCP nelle intestazioni TCP.
tcpsyn - Visualizza il numero di sequenza TCP nel pacchetto.
tcpack - Visualizza il numero di riconoscimento TCP nel pacchetto.
tcpwin - Visualizza il TCP w dimensione dell'indow, in byte, nel pacchetto.
icmptype - Informazioni sui messaggi ICMP.
icmpcode - Informazioni sui messaggi ICMP.
informazioni - Visualizza una voce che dipende dal tipo di azione che si è verificata.
percorso - Visualizza la direzione della comunicazione. Le opzioni disponibili sono SEND, RECEIVE, FORWARD e UNKNOWN.

Come si nota, la voce del log è davvero grande e può contenere fino a 17 informazioni associate a ciascun evento. Tuttavia, solo le prime otto informazioni sono importanti per l'analisi generale. Con i dettagli nella tua mano ora puoi analizzare le informazioni per attività dannose o debuggare gli errori delle applicazioni.

Se sospetti attività dannose, apri il file di registro in Blocco note e filtra tutte le voci di registro con DROP nel campo azione e notare se l'indirizzo IP di destinazione termina con un numero diverso da 255. Se si trovano molte di tali voci, prendere nota degli indirizzi IP di destinazione dei pacchetti. Una volta terminata la risoluzione del problema, è possibile disabilitare la registrazione del firewall.

La risoluzione dei problemi di rete può essere piuttosto scoraggiante a volte e una buona pratica consigliata durante la risoluzione dei problemi di Windows Firewall consiste nell'abilitare i log nativi. Sebbene il file di registro di Windows Firewall non sia utile per analizzare la sicurezza generale della rete, rimane comunque una buona pratica se si desidera monitorare ciò che accade dietro le quinte.

Che cosa fare quando Windows mostra due diverse lettere di unità per lo stesso disco

È Un problema piuttosto raro, ma a volte, Windows potrebbe visualizzare lo stesso disco rigido o la stessa partizione due volte usando diverse lettere di unità . Per fortuna, di solito c'è una soluzione semplice. Questo è quasi sempre il risultato di un utente o di un programma che ha creato un disco virtuale che mappa il tuo disco reale.

(how-to)

Dovresti acquistare garanzie estese?

Compra qualcosa in un negozio di elettronica e ti troverai di fronte a un invadente venditore che insiste che hai bisogno di una garanzia estesa. Noterai anche che le garanzie estese sono state messe a dura prova durante gli acquisti online. Ma ne vale la pena? C'è un motivo per cui i negozi spingono le garanzie estese così tanto.

(how-to)