Встроенный фаервол Windows может быть использован для отслеживания всех проходящих через него соединений. В данной инструкции расскажем, как активировать регистрацию сетевой активности с помощью журналов Брандмаэура Windows
Если вы пользуетесь системой Windows, то скорее всего знаете о на наличии в ней встроенного брандмауэра. Возможно вы также умеете разрешать и блокировать доступ отдельных программ в сеть, чтобы контролировать входящий и исходящий трафик. Но знаете ли вы, что фаервол Windows может быть использован для регистрации всех проходящих через него соединений?
Журналы Брандмауэра Windows могут быть полезны при решении отдельных проблем:
- Используемая программа не может подключиться к Интернету, несмотря на то, что с другими приложениями эта проблема не наблюдается. В данном случае для устранения неисправности следует проверить, не блокирует ли системный фаервол запросы данной программы на подключение.
- Вы подозреваете, что компьютер используется для передачи данных вредоносной программой и хотите провести мониторинг исходящего трафика на предмет подозрительных запросов подключения.
- Вы создали новые правила разрешения и блокировки доступа и хотите убедиться, что фаервол корректно обрабатывает заданные инструкции.
Независимо от причин использования, включение протоколирования событий может быть сложной задачей, так как требует многих манипуляций с настройками. Приведем четкий алгоритм действий, как активировать регистрацию сетевой активности в фаерволе Windows.
Выявляем кражу паролей методом анализа сетевой активности утилитой Process Monitor
Доступ к настройкам фаервола
Во-первых, нужно перейти к расширенным настройкам брандмауэра Windows. Откройте панель управления (клик правой кнопкой мыши по меню Пуск, опция “Панель управления”), затем нажмите ссылку “Брандмауэр Windows”, если стоит режим просмотра мелкие/крупные значки, либо выберите раздел “Система и безопасность”, а затем “Брандмауэр Windows”, если стоит режим просмотра категория.
В окне фаервола выберите опцию в левом навигационном меню “Дополнительные параметры”.
Вы увидите следующий экран настроек:
Это внутренняя техническая сторона брандмауэра Windows. Данный интерфейс позволяет разрешать или блокировать доступ программ в Интернет, настраивать входящие и исходящий трафик. Кроме того, именно здесь можно активировать функцию регистрации событий — хотя не сразу понятно, где это можно сделать.
Доступ к настройкам журнала
Во-первых, выберите опцию “Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)”.
Кликните правой кнопкой мыши по ней и выберите опцию “Свойства”.
АНОНИМНОСТЬ В ИНТЕРНЕТЕ ▲ Метод профессионалов
Откроется окно, которое может запутать пользователя. При выборе трех вкладок (Профиль домена, Частный профиль, Общий профиль) можно заметить, что их содержимое идентично, но относится к трем различным профилям, название которых указано в заголовке вкладки. На вкладке каждого профиля содержится кнопка настройки ведения журнала. Каждый журнал будет соответствовать отдельному профилю, но какой профиль используете вы?
Рассмотрим, что означает каждый профиль:
- Профиль домена используется для подключения к беспроводной сети Wi-Fi, когда домен задается контроллером домена. Если вы не уверены, что это значит, лучше не используйте данный профиль.
- Частный профиль используется для подключения к частным сетям, включая домашние или персональные сети — именно данный профиль вы скорее всего будете использовать.
- Общий профиль используется для подключения к общественным сетям, включая сети ресторанов, аэропортов, библиотек и других учреждений.
Если вы используете компьютер в домашней сети, перейдите на вкладку “Частный профиль”. Если используется публичная сеть, перейдите на вкладку “Общий профиль”. Нажмите кнопку “Настроить” в секции “Ведение журнала” на корректной вкладке.
Активация журнала событий
В открывшемся окне вы можете настроить расположение и максимальный размер журнала. Можно задать легко запоминающееся место для лога, но на самом деле локация файла журнала не имеет особо значения. Если вы хотите запустить регистрацию событий, в обоих выпадающих меню “Записывать пропущенные пакеты” и “Записывать успешные подключения” установите значение “Да” и нажмите кнопку “ОК”. Постоянная работа функции может привести к проблемам производительности, поэтому активируйте ее только когда действительно нужно выполнить мониторинг подключений. Для отключения функции логирования установите значение “Нет (по умолчанию)” в обоих выпадающих меню.
Изучение журналов
Теперь компьютер будет фиксировать сетевую активность, контролируемую фаерволом. Для того, чтобы просмотреть логи, перейдите в окно “Дополнительные параметры”, выберите опцию “Наблюдение” в левом списке, а затем в секции “Параметры ведения журнала” кликните ссылку “Имя файла”.
Затем откроется журнал сетевой активности. Содержимое журнала может запутать неопытного пользователя. Рассмотрим основное содержимое записей журнала:
- Дата и время подключения.
- Что произошло с подключением. Статус “ALLOW” означает, что фаервол разрешил подключение, а статус “DROP” показывает, что подключение было заблокировано фаерволом. Если вы столкнулись с проблемами подключения к сети отдельной программы, то сможете точно определить, что причина проблемы связана с политикой брандмауэра.
- Тип подключения — TCP или UDP.
- По порядку: IP-адрес источника подключения (компьютера), IP-адрес получателя (например, веб-страницы) и используемый на компьютере сетевой порт. Данная запись позволяет выявлять порты, которые требуют открытия для работы ПО. Также следите за подозрительными подключениями — они могут быть совершены вредоносными программами.
- Был ли успешно отправлен или получен пакет данных.
Информация в журнале поможет выяснить причину проблем подключения. Журналы могут регистрировать и другую активность, например, целевой порт или номер подтверждения TCP. Если вам нужны подробности, ознакомьтесь со строкой “#Fields” в верхней части лога, чтобы идентифицировать значение каждого показателя.
Не забудьте отключить функцию ведения журнала после завершения работы.
Расширенная диагностика сети
С помощью использования журнала брандмауэра Windows, вы можете проанализировать типы данных, обрабатываемых на компьютере. Кроме того, можно установить причины проблем с сетью, связанные с работой фаервола или другими объектами, нарушающими соединения. Журнал активности позволяет ознакомиться с работой фаервола и получить четкое представление о происходящем в сети.
Источник: www.comss.ru
Определяем программы подключающиеся к Интернету
Активное пользовательское Интернет соединение используется не только браузерами и месенджерами, но и рядом других приложений, которые не уведомляют Вас о своём подключении. Например, это может быть офисная программа, давно позабытая, но с завидным постоянством загружающая актуальные обновления!
Как отследить Интернет активность программ?
Существует два способа, наиболее развёрнуто отвечающих на вопрос подзаголовка, первый специализированный софт (например, сетевой экран), а другой воспользоваться стандартными возможностями Windows (по средствам командной строки). Вот о втором то и поговорим подробнее, так как он под рукой и не потребует дополнительной инсталляции или настроек.
Многие сетевые параметры и их активность можно проследить через утилиту «netstat», запуском которой можно управлять по средствам командной строки. То есть, указав дополнительные ключи можно вывести статические данные или мониторинг динамических изменений.
Инструкция к применению:
- Запускаем консоль командной строки от имени Администратора. Сочетанием клавиш «Win + R» вызываем окно «Выполнить».
- В строку ввода вписываем «CMD», сокращённое и понятное имя командной строки Windows.
- В появившемся окне вводим команду со следующими параметрами:
netstat -abf 10
при таком виде запуска, утилитой будут выведены подробные статистические данные, где ключ «a» отобразит все текущие подключения (в том числе ожидающие порты); ключ «b» — показ имени исполняемого файла; ключ «f» — доменное имя соединения. Указание цифр через пробел может задать интервал опроса подключений. - На время выполнения заданных параметров командная строка должна быть открыта.
Чтобы вывести статистику в текстовый файл (формата «TXT»), попробуйте произвести запуск с дополнением:
netstat -abf 10 > D:сonnection.txt
помимо известных ключей добавлен интервал в 10 секунд и путь к сохранению текстового лога.
Вместо послесловия
Таким образом, по окончанию сканирования Вы сможете сопоставить полученный результат статистики с известными программами на компьютере, и в случае необходимости применить к ним настройки.
Нередко вышеописанным методом можно выявить вирусную активность в операционной системе, что недоступно некоторым файловым антивирусам.
Источник: wd-x.ru
TCPView — Мониторим TCP/IP подключения
TCPView — это маленькая бесплатная программа для мониторинга TCP/IP подключений в Windows, написанная Марком Руссиновичем, известным специалистом по безопасности, работающем сейчас в Microsoft.
Она показывает в реальном времени процессы на вашем компьютере использующие TCP протокол.
Можно увидеть кто слушает порты, к кому вы и кто к вам подключен.
Использую её давно и часто. Программа очень удобна для отлавливания вирусов, выявления сетевой активности разных программ, да и просто для того чтобы выяснить кто куда и зачем к вам подключился. Прямо из её интерфейса можно убивать нехорошие процессы, а можно просто закрывать их подключения.
Источник: habr.com