Konfigurieren der Windows-Firewallprotokollierung
Um die Windows-Firewall so zu konfigurieren, dass verworfene Pakete oder erfolgreiche Verbindungen protokolliert werden, können Sie Folgendes verwenden:
- Konfigurationsdienstanbieter (Configuration Service Provider, CSP) mit einer MDM-Lösung wie Microsoft Intune
- Gruppenrichtlinie (GPO)
Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.
Intune/CSP
GPO- Anmelden beim Microsoft Intune Admin Center
- Wechseln Sie zu Endpunktsicherheit>Firewall>Richtlinie> erstellenWindows 10, Windows 11 und Windows Server>Windows Firewall>Erstellen
- Geben Sie einen Namen und optional eine Beschreibung >ein.
- Konfigurieren Sie unter Konfigurationseinstellungen für jeden Netzwerkadressentyp (Domäne, Privat, Öffentlich) Folgendes:
- Protokolldateipfad
- Aktivieren von protokollverworfenen Paketen
- Aktivieren von Erfolgreichen Protokollverbindungen
- Maximale Protokolldateigröße
- Wählen Sie Weiter>aus.
- Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie beim nächsten>Erstellen konfigurieren > möchten.
Tipp
Wenn Sie es vorziehen, können Sie auch eine Einstellungskatalogrichtlinie verwenden, um die Windows-Firewallprotokollierung zu konfigurieren.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem Firewall-CSP konfigurieren.
| Netzwerkprofil | Einstellung |
|---|---|
| Domäne | Einstellungsname: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogDroppedPackets |
| Domäne | Einstellungsname: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogFilePath |
| Domäne | Einstellungsname: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogSuccessConnections |
| Domäne | Einstellungsname: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogMaxFileSize |
| Private | Einstellungsname: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogDroppedPackets |
| Private | Einstellungsname: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogFilePath |
| Private | Einstellungsname: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogSuccessConnections |
| Private | Einstellungsname: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogMaxFileSize |
| Public | Einstellungsname: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogDroppedPackets |
| Public | Einstellungsname: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogFilePath |
| Public | Einstellungsname: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogSuccessConnections |
| Public | Einstellungsname: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogMaxFileSize |
Wichtig
Dem von Ihnen angegebenen Speicherort müssen Berechtigungen zugewiesen sein, die es dem Windows-Firewalldienst ermöglichen, in die Protokolldatei zu schreiben.
Empfehlungen
Hier sind einige Empfehlungen zum Konfigurieren der Windows-Firewallprotokollierung:
- Ändern Sie die Protokollierungsgröße auf mindestens 20.480 KB (20 MB), um sicherzustellen, dass die Protokolldatei nicht zu schnell gefüllt wird. Die maximale Protokollgröße beträgt 32.767 KB (32 MB)
- Ändern Sie für jedes Profil (Domäne, Privat und Öffentlich) den Standardprotokolldateinamen von
%windir%\system32\logfiles\firewall\pfirewall.login:%windir%\system32\logfiles\firewall\pfirewall_Domain.log%windir%\system32\logfiles\firewall\pfirewall_Private.log%windir%\system32\logfiles\firewall\pfirewall_Public.log
- Protokollieren von verworfenen Paketen auf Ja
- Erfolgreiche Verbindungen in Ja protokollieren
Auf einem einzelnen System können Sie die folgenden Befehle verwenden, um die Protokollierung zu konfigurieren:
netsh advfirewall>set allprofiles logging allowedconnections enable
netsh advfirewall>set allprofiles logging droppedconnections enable
Analysemethoden
Es gibt mehrere Methoden, um die Protokolldateien der Windows-Firewall zu analysieren. Zum Beispiel:
- Aktivieren Sie die Windows-Ereignisweiterleitung (Windows Event Forwarding , WEF) an einen Windows-Ereignissammler (WEC). Weitere Informationen finden Sie unter Verwenden der Windows-Ereignisweiterleitung zur Unterstützung bei der Angriffserkennung.
- Leiten Sie die Protokolle an Ihr SIEM-Produkt weiter, z. B. an azure Sentinel. Weitere Informationen finden Sie unter Windows-Firewallconnector für Microsoft Sentinel.
- Leiten Sie die Protokolle an Azure Monitor weiter, und verwenden Sie KQL, um die Daten zu analysieren. Weitere Informationen finden Sie unter Azure Monitor-Agent auf Windows-Clientgeräten.
Tipp
Wenn Protokolle langsam in Ihrer SIEM-Lösung angezeigt werden, können Sie die Protokolldateigröße verringern. Achten Sie nur darauf, dass die Verkleinerung aufgrund der erhöhten Protokollrotation zu einer höheren Ressourcennutzung führt.
Problembehandlung, wenn die Protokolldatei nicht erstellt oder geändert wird
Manchmal werden die Protokolldateien der Windows-Firewall nicht erstellt, oder die Ereignisse werden nicht in die Protokolldateien geschrieben. Einige Beispiele, in denen diese Bedingung auftreten kann, sind:
- Fehlende Berechtigungen für den Windows Defender Firewall-Dienst (
mpssvc) für den Ordner oder für die Protokolldateien - Sie möchten die Protokolldateien in einem anderen Ordner speichern, und die Berechtigungen fehlen oder werden nicht automatisch festgelegt.
- Wenn die Firewallprotokollierung über Richtlinieneinstellungen konfiguriert wird, kann es passieren, dass
- Der Protokollordner am Standardspeicherort
%windir%\System32\LogFiles\firewallist nicht vorhanden. - Der Protokollordner in einem benutzerdefinierten Pfad ist nicht vorhanden.
- Der Protokollordner am Standardspeicherort
In beiden Fällen müssen Sie den Ordner manuell oder über ein Skript erstellen und die Berechtigungen für mpssvchinzufügen.
New-Item -ItemType Directory -Path $env:windir\System32\LogFiles\Firewall
Überprüfen Sie, ob mpssvcfullControl für den Ordner und die Dateien vorhanden ist. Verwenden Sie in einer PowerShell-Sitzung mit erhöhten Rechten die folgenden Befehle, um sicherzustellen, dass sie den richtigen Pfad verwenden:
$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
(Get-ACL -Path $LogPath).Access | Format-Table IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags -AutoSize
In der Ausgabe sollte FullControl angezeigt NT SERVICE\mpssvc werden:
IdentityReference FileSystemRights AccessControlType IsInherited InheritanceFlags
----------------- ---------------- ----------------- ----------- ----------------
NT AUTHORITY\SYSTEM FullControl Allow False ObjectInherit
BUILTIN\Administrators FullControl Allow False ObjectInherit
NT SERVICE\mpssvc FullControl Allow False ObjectInherit
Wenn nicht, fügen Sie dem Ordner, den Unterordnern und den Dateien FullControl-Berechtigungen für mpssvc hinzu. Stellen Sie sicher, dass Sie den richtigen Pfad verwenden.
$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
$NewAcl = Get-Acl -Path $LogPath
$identity = "NT SERVICE\mpssvc"
$fileSystemRights = "FullControl"
$inheritanceFlags = "ContainerInherit,ObjectInherit"
$propagationFlags = "None"
$type = "Allow"
$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritanceFlags, $propagationFlags, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
$NewAcl.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path $LogPath -AclObject $NewAcl
Starten Sie das Gerät neu, um den Windows Defender Firewall-Dienst neu zu starten.