Par défaut les logs du Firewall ne sont pas activés et sont dans cet emplacement :
%systemroot%\system32\LogFiles\Firewall\
Lien vers le fichier : cliquez ici
Le plus pratique est de paramétrer le firewall avec netsh
netsh advfirewall set allprofiles state on
netsh advfirewall set allprofiles logging filename C:\pfirewall.log
netsh advfirewall set allprofiles logging maxfilesize 8192
netsh advfirewall set allprofiles logging droppedconnections enable
netsh advfirewall set allprofiles logging allowedconnections disable
Lien vers le fichier : cliquez ici
Autres commandes netsh :
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
netsh advfirewall set allprofiles settings inboundusernotification enable
netsh advfirewall set allprofiles settings unicastresponsetomulticast enable
Lien vers le fichier : cliquez ici
Vous pouvez définir un log par profil
netsh advfirewall set Domainprofile logging filename C:\pfirewall_Domainprofile.log
netsh advfirewall set Privateprofile logging filename C:\pfirewall_Privateprofile.log
netsh advfirewall set Publicprofile logging filename C:\pfirewall_Publicprofile.log
Lien vers le fichier : cliquez ici
Avant d'utiliser netsh advfirewall on utilisait la commande netsh firewall et cela donnait
netsh firewall set logging C:\pfirewall.log 4096 ENABLE DISABLE
Lien vers le fichier : cliquez ici
Pour les activer via l'interface graphique, appuyez sur Windows + r
puis entrez WF.msc
Cliquez sur Properties
Pour chaque profil cliquez sur Customize au niveau de "Logging"
Passez à Yes les logs puis cliquez sur Ok
On peut également paramétrer par GPO
Ou via des clés de registre, mais c'est peu pratique :
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile" /v "EnableFirewall" /t REG_DWORD /d 1 /f
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile" /v "EnableFirewall" /t REG_DWORD /d 1 /f
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\Logging" /v "LogDroppedPackets" /t REG_DWORD /d 1 /f
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogDroppedPackets" /t REG_DWORD /d 1 /f
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogSuccessfulConnections" /t REG_DWORD /d 1 /f
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogFilePath" /t REG_SZ /d "%systemroot%\system32\LogFiles\Firewall\pfirewall.log" /f
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogFileSize" /t REG_DWORD /d 4096 /f
Lien vers le fichier : cliquez ici
Notez que les paramètres modifiés par clé de registre sont considérés comme réglés par GPO ce qui fait qu'on ne peut plus les modifier via l'interface graphique
Pour effacer ces clés de registre faites ainsi :
REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile" /v "EnableFirewall" /f
REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile" /v "EnableFirewall" /f
REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\Logging" /v "LogDroppedPackets" /f
REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogDroppedPackets" /f
REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogSuccessfulConnections" /f
REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogFilePath" /f
REG DELETE "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging" /v "LogFileSize" /f
Lien vers le fichier : cliquez ici
Pages Web
Site Web | Description |
---|---|
Technet.microsoft.com | Administration du Pare-feu Windows avec fonctions avancées de sécurité dans Windows PowerShell |
Support.microsoft.com | Comment utiliser netsh advfirewall au lieu de netsh firewall |
Article(s) précédent(s)