Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
998 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Log des connexions rejetées par le firewall 2008 R2

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Log des connexions rejetées par le firewall 2008 R2

n°93481
ShonGail
En phase de calmitude ...
Posté le 20-03-2012 à 15:37:07  profilanswer
 

Bonjour,
 
sous 2008 R2, on peut visiblement activer la journalisation des connexions qui correspondent à des règles existantes (allow ou deny).
Mais comment obtenir le log des connexions qui ne correspondent pas à des règles et sont donc rejetées ?

mood
Publicité
Posté le 20-03-2012 à 15:37:07  profilanswer
 

n°93483
statoon54
Posté le 20-03-2012 à 15:48:05  profilanswer
 

Tu regardes les paquets rejeté  "DROP"
 
Powershell  
 
$log = "C:\Windows\system32\LogFiles\Firewall\pfirewall.log"
$logcontenu = Get-Content $log
$logcontenu | select-string "drop"

n°93909
ShonGail
En phase de calmitude ...
Posté le 27-03-2012 à 16:16:38  profilanswer
 

Merci.
Mais tu as toi dans les "DROP" les connexions rejetées qui ne correspondent pas à un règle !??
 
Perso je n'ai que les connexions rejetées qui correspondent à un règle qui bloque ou qui est désactivée.

n°93923
statoon54
Posté le 27-03-2012 à 18:55:30  profilanswer
 

ShonGail a écrit :

Merci.
Mais tu as toi dans les "DROP" les connexions rejetées qui ne correspondent pas à un règle !??

 

Perso je n'ai que les connexions rejetées qui correspondent à un règle qui bloque ou qui est désactivée.

 

utilises cette commande :
netsh firewall set logging droppedpackets = enable
ou
tu actives les paquets ignorés dans la config avancée


Message édité par statoon54 le 27-03-2012 à 19:00:41
n°93933
ShonGail
En phase de calmitude ...
Posté le 27-03-2012 à 20:09:03  profilanswer
 

Mais c'est ce que j'ai fait of course d'activer la journalisation des paquets ignorés.
C'est bien pour ça que j'ai des entrées de paquets rejetés qui correspondent à des règles existantes ou désactivées mais rien sur des connexions bloquées parce que c'est le comportement par défaut du firewall si une règle d'autorisation n'est pas active.

n°93958
statoon54
Posté le 28-03-2012 à 10:40:42  profilanswer
 

Il faut activer l'audit d’accès à l'objet suivant.  
Tu trouveras  dans la GPO computer , paramètre de sécurité , configuration des audits avancée , stratégie d'audit, Accès à l'objet , auditer les paquets rejeté par la plateforme de filtrage .
A noter que les évènement se trouveront dans le journal d’évènement .
 
 
Connexion de la plateforme de filtrage Windows
 
Rejet de paquet par la plateforme de filtrage Windows
 
Ce paramètre de stratégie vous permet d’auditer les paquets rejetés par la plateforme de filtrage Windows (WFP).
 
Volume : Élevé.
 
5152
The Windows Filtering Platform blocked a packet.
5153
A more restrictive Windows Filtering Platform filter has blocked a packet.

n°93975
statoon54
Posté le 28-03-2012 à 12:52:27  profilanswer
 

statoon54 a écrit :


Néanmoins je te conseillerai plutôt de monitorer le traffic avec network monitor, c tellement plus simple .



Message édité par statoon54 le 28-03-2012 à 12:52:57

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Log des connexions rejetées par le firewall 2008 R2

 

Sujets relatifs
Firewall backCentralisation des logs ( 2008 R2 )
2008 R2 - réactivation automatique Windows UpdateBureau à distance sur serveur 2008 R2 Std
Problème GPO machine 2008 r2 
Plus de sujets relatifs à : Log des connexions rejetées par le firewall 2008 R2


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR