Konfigurieren der Windows-Firewallprotokollierung

• Gilt für::

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Um die Windows-Firewall so zu konfigurieren, dass verworfene Pakete oder erfolgreiche Verbindungen protokolliert werden, können Sie Folgendes verwenden:

• Konfigurationsdienstanbieter (Configuration Service Provider, CSP), der eine MDM-Lösung wie Microsoft Intune
• Gruppenrichtlinie (GPO)

Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht.

Intune/CSP

1. Melden Sie sich beim Microsoft Intune Admin Center an.
2. Wechseln Sie zu Endpunktsicherheit>Firewall>Richtlinie> erstellen Windows 10, Windows 11 und Windows Server>Windows Firewall>Erstellen
3. Geben Sie einen Namen und optional eine Beschreibung >ein.
4. Konfigurieren Sie unter Konfigurationseinstellungen für jeden Netzwerkadressentyp (Domäne, Privat, Öffentlich) Folgendes:
   • Protokolldateipfad
   • Aktivieren von protokollverworfenen Paketen
   • Aktivieren von Erfolgreichen Protokollverbindungen
   • Maximale Protokolldateigröße
5. Wählen Sie Weiter>aus.
6. Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie beim nächsten>Erstellen konfigurieren > möchten.

Tipp

Wenn Sie es vorziehen, können Sie auch eine Einstellungskatalogrichtlinie verwenden, um die Windows-Firewallprotokollierung zu konfigurieren.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem Firewall-CSP konfigurieren.

Netzwerkprofil	Einstellung
Domäne	Einstellungsname: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogDroppedPackets
Domäne	Einstellungsname: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogFilePath
Domäne	Einstellungsname: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogSuccessConnections
Domäne	Einstellungsname: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogMaxFileSize
Private	Einstellungsname: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogDroppedPackets
Private	Einstellungsname: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogFilePath
Private	Einstellungsname: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogSuccessConnections
Private	Einstellungsname: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogMaxFileSize
Public	Einstellungsname: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogDroppedPackets
Public	Einstellungsname: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogFilePath
Public	Einstellungsname: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogSuccessConnections
Public	Einstellungsname: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogMaxFileSize

GRUPPENRICHTLINIENOBJEKT

Verwenden Sie die lokale Gruppenrichtlinie Editor, um ein Gerät mit Einer Gruppenrichtlinie zu konfigurieren. Um mehrere Geräte zu konfigurieren, die mit Active Directory verknüpft sind, erstellen oder bearbeiten Sie ein Gruppenrichtlinienobjekt (GPO), und verwenden Sie die folgenden Einstellungen:

1. Erweitern Sie die Knoten Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Sicherheitseinstellungen>Windows-Firewall mit erweiterter Sicherheit
2. Wählen Sie im Detailbereich im Abschnitt Übersichtdie Option Windows Defender Firewalleigenschaften aus.
3. Führen Sie für jeden Netzwerkadressentyp (Domäne, Privat, Öffentlich) die folgenden Schritte aus.
   1. Wählen Sie die Registerkarte aus, die dem Netzwerkadressentyp entspricht.
   2. Wählen Sie unter Protokollierung die Option Anpassen aus.
   3. Der Standardpfad für das Protokoll ist %windir%\system32\logfiles\firewall\pfirewall.log. Wenn Sie diesen Pfad ändern möchten, deaktivieren Sie das Kontrollkästchen Nicht konfiguriert , und geben Sie den Pfad zum neuen Speicherort ein, oder wählen Sie Durchsuchen aus, um einen Dateispeicherort auszuwählen.
4. Die maximale Standarddateigröße für das Protokoll beträgt 4.096 Kilobyte (KB). Wenn Sie diese Größe ändern möchten, deaktivieren Sie das Kontrollkästchen Nicht konfiguriert , und geben Sie die neue Größe in KB ein, oder verwenden Sie die NACH-OBEN- und NACH-UNTEN-TASTE, um eine Größe auszuwählen. Die Datei wächst nicht über diese Größe hinaus. wenn der Grenzwert erreicht ist, werden alte Protokolleinträge gelöscht, um Platz für die neu erstellten zu schaffen.
5. Es erfolgt keine Protokollierung, bis Sie eine der folgenden beiden Optionen festlegen:
   • Um einen Protokolleintrag zu erstellen, wenn Windows Defender Firewall ein eingehendes Netzwerkpaket löscht, ändern Sie Log dropped packets in Yes (Ja).
   • Um einen Protokolleintrag zu erstellen, wenn Windows Defender Firewall eine eingehende Verbindung zulässt, ändern Sie Erfolgreiche Verbindungen protokollieren in Ja.
6. Wählen Sie zweimal OK aus.

Gruppenrichtlinien können mit Domänen oder Organisationseinheiten verknüpft , mithilfe von Sicherheitsgruppen gefiltert oder mithilfe von WMI-Filtern gefiltert werden.

Wichtig

Dem von Ihnen angegebenen Speicherort müssen Berechtigungen zugewiesen sein, die es dem Windows-Firewalldienst ermöglichen, in die Protokolldatei zu schreiben.

Empfehlungen

Hier sind einige Empfehlungen zum Konfigurieren der Windows-Firewallprotokollierung:

• Ändern Sie die Protokollierungsgröße auf mindestens 20.480 KB (20 MB), um sicherzustellen, dass die Protokolldatei nicht zu schnell gefüllt wird. Die maximale Protokollgröße beträgt 32.767 KB (32 MB)
• Ändern Sie für jedes Profil (Domäne, Privat und Öffentlich) den Standardprotokolldateinamen von %windir%\system32\logfiles\firewall\pfirewall.log in:
  • %windir%\system32\logfiles\firewall\pfirewall_Domain.log
  • %windir%\system32\logfiles\firewall\pfirewall_Private.log
  • %windir%\system32\logfiles\firewall\pfirewall_Public.log
• Protokollieren von verworfenen Paketen auf Ja
• Erfolgreiche Verbindungen in Ja protokollieren

Auf einem einzelnen System können Sie die folgenden Befehle verwenden, um die Protokollierung zu konfigurieren:

netsh advfirewall>set allprofiles logging allowedconnections enable
netsh advfirewall>set allprofiles logging droppedconnections enable

Analysemethoden

Es gibt mehrere Methoden, um die Protokolldateien der Windows-Firewall zu analysieren. Zum Beispiel:

• Aktivieren Sie die Windows-Ereignisweiterleitung (Windows Event Forwarding , WEF) an einen Windows-Ereignissammler (WEC). Weitere Informationen finden Sie unter Verwenden der Windows-Ereignisweiterleitung zur Unterstützung bei der Angriffserkennung.
• Leiten Sie die Protokolle an Ihr SIEM-Produkt weiter, z. B. an azure Sentinel. Weitere Informationen finden Sie unter Windows-Firewallconnector für Microsoft Sentinel.
• Leiten Sie die Protokolle an Azure Monitor weiter, und verwenden Sie KQL, um die Daten zu analysieren. Weitere Informationen finden Sie unter Azure Monitor-Agent auf Windows-Clientgeräten.

Tipp

Wenn Protokolle langsam in Ihrer SIEM-Lösung angezeigt werden, können Sie die Protokolldateigröße verringern. Achten Sie nur darauf, dass die Verkleinerung aufgrund der erhöhten Protokollrotation zu einer höheren Ressourcennutzung führt.

Problembehandlung, wenn die Protokolldatei nicht erstellt oder geändert wird

Manchmal werden die Protokolldateien der Windows-Firewall nicht erstellt, oder die Ereignisse werden nicht in die Protokolldateien geschrieben. Einige Beispiele, in denen diese Bedingung auftreten kann, sind:

• Fehlende Berechtigungen für den Windows Defender Firewall-Dienst (mpssvc) für den Ordner oder für die Protokolldateien
• Sie möchten die Protokolldateien in einem anderen Ordner speichern, und die Berechtigungen fehlen oder werden nicht automatisch festgelegt.
• Wenn die Firewallprotokollierung über Richtlinieneinstellungen konfiguriert wird, kann es passieren, dass
  • Der Protokollordner am Standardspeicherort %windir%\System32\LogFiles\firewall ist nicht vorhanden.
  • Der Protokollordner in einem benutzerdefinierten Pfad ist nicht vorhanden.

In beiden Fällen müssen Sie den Ordner manuell oder über ein Skript erstellen und die Berechtigungen für mpssvchinzufügen.

New-Item -ItemType Directory -Path $env:windir\System32\LogFiles\Firewall

Überprüfen Sie, ob mpssvcfullControl für den Ordner und die Dateien vorhanden ist. Verwenden Sie in einer PowerShell-Sitzung mit erhöhten Rechten die folgenden Befehle, um sicherzustellen, dass sie den richtigen Pfad verwenden:

$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
(Get-ACL -Path $LogPath).Access | Format-Table IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags -AutoSize

In der Ausgabe sollte FullControl angezeigt NT SERVICE\mpssvc werden:

IdentityReference      FileSystemRights AccessControlType IsInherited InheritanceFlags
-----------------      ---------------- ----------------- ----------- ----------------
NT AUTHORITY\SYSTEM         FullControl             Allow       False    ObjectInherit
BUILTIN\Administrators      FullControl             Allow       False    ObjectInherit
NT SERVICE\mpssvc           FullControl             Allow       False    ObjectInherit

Wenn nicht, fügen Sie dem Ordner, den Unterordnern und den Dateien FullControl-Berechtigungen für mpssvc hinzu. Stellen Sie sicher, dass Sie den richtigen Pfad verwenden.

$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
$NewAcl = Get-Acl -Path $LogPath 

$identity = "NT SERVICE\mpssvc"
$fileSystemRights = "FullControl"
$inheritanceFlags = "ContainerInherit,ObjectInherit"
$propagationFlags = "None"
$type = "Allow"

$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritanceFlags, $propagationFlags, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList

$NewAcl.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path $LogPath -AclObject $NewAcl

Starten Sie das Gerät neu, um den Windows Defender Firewall-Dienst neu zu starten.