Windows-Firewall: Blockierte Verbindungen im Log-File untersuchen

    , 13.01.2015
    Tags: , ,

    Windows-FirewallBei allem Schutz, den die Windows-Firewall bietet, erschwert sie die Remote-Verwaltung von PCs. Oft ist es gar nicht so einfach heraus­zufinden, dass sie die Ursache für Verbin­dungs­probleme ist und welche Regel dafür zustän­dig sein könnte. Durch das Aktivieren der Log-Datei erhält man jedoch aufschlussreiche Informationen für das Troubleshooting.

    Oft sagen die Fehlermeldungen bei der Remote-Verwaltung gar nichts darüber aus, dass die Kommunikation an der Firewall des Quell- oder Zielrechners scheitert. Berüchtigt ist in diesem Zusammenhang etwa der Fehler Der RPC-Server ist nicht verfügbar. In anderen Fällen, wie etwa einem abgewiesenen Ping, gibt es gar keinen Hinweis darauf, dass man erst eine entsprechende Regel aktivieren muss.

    Keine Verbindungsdaten in der Ereignisanzeige

    Fällt der Verdacht auf die Firewall, dann liegt es nahe, sie temporär abzuschalten, um diesen zu verifizieren. Besser wären jedoch detaillierte Informationen, die belegen, welche Verbindungen gescheitert sind und über welches Protokoll und über welchen Port sie aufgebaut werden sollten.

    In der Ereignisanzeige finden sich Informationen zu Änderungen der Firewall-Konfiguration.

    Zu diesem Zweck wertet man die Log-Datei der Firewall aus. Allerdings finden sich die dafür relevanten Daten nicht in der Ereignisanzeige, wo unter Anwendungs- und Dienstprotokolle => Microsoft => Windows => Windows Firewall with Advanced Security => Firewall nur die Änderungen der Firewall-Konfiguration mitgeschnitten werden. Diese Einträge mögen hilfreich sein, um herauszufinden, welche kürzlich (de)aktivierte Regel für das Problem verantwortlich sein könnte.

    Protokollierung per Voreinstellung nicht aktiv

    Die Informationen zu abgewiesenen Verbindungen speichert die Firewall in einer Klartextdatei, nachdem man die Protokollierung explizit eingeschaltet hat. Dies bewerkstelligt man in der grafischen Administrationsoberfläche Windows-Firewall mit erweiterter Sicherheit, und zwar indem man auf der Startseite dem Link Windows-Firewalleigenschaften folgt.

    Die Protokollierung kann man entweder für nur blockierte oder auch für erfolgreiche Verbindungen aktivieren.

    Im anschließenden Dialog klickt man unter Protokollierung auf den Button Anpassen. Nun kann man wählen, ob die Firewall nur verworfene Pakete mitschreiben soll oder zusätzlich auch erfolgreiche Verbindungen. Letztere wird man für das Troubleshooting in der Regel nicht benötigen, noch dazu, wo auf diese Weise relativ schnell eine große Menge an Einträgen entsteht. Eine weitere Einstellung betrifft den Namen, Pfad und die maximale Größe der Log-Datei. Per Voreinstellung befindet sie sich im Verzeichnis %systemroot%\system32\LogFiles\Firewall.

    Logging per GPO einschalten

    Wenn man das Logging nicht nur auf einzelnen, sondern auf einer größeren Zahl von PCs aktivieren möchte, dann lässt sich das über Gruppenrichtlinien erledigen. Die dafür zuständige Einstellung findet sich unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Windows-Firewall mit erweiterter Sicherheit => Windows-Firewall mit erweiterter Sicherheit. Dort findet sich eingebettet in den GPO-Editor die gewohnte Firewall-Konsole, in der man die Protokollierung auf die gleiche Weise einschaltet wie unter der Standalone-Version.

    Die in den GPO-Editor eingebettete Firewall-Verwaltung aktiviert die Protokollierung so wie die eigenständige Version.

    Auswertung der Firewall-Logs

    Sobald die Firewall beginnt, Informationen über blockierte Verbindungen aufzuzeichnen, kann man bei Bedarf die Log-Datei einsehen. Am einfachsten geht das in der linken Navigationsleiste des Admin-Tools unter dem Eintrag Überwachung. Er öffnet im Hauptfenster eine Übersichtsseite, wo sich unter Protokollierungseinstellungen ein Link auf die Log-File findet.

    Ein Link zur Log-File findet sich auf der Seite 'Überwachung'.

    Folgt man diesem, dann wird das Firewall-Protokoll in Notepad angezeigt. Das Format der Datei ist Klartext, wobei die einzelnen Spalten durch Leerzeichen voneinander getrennt sind. Die Darstellung in einem primitiven Tool wie dem Editor macht es nicht einfach, die benötigten Informationen zu erfassen.

    Standardmäßig öffnet die Log-Datei in Notepad, so dass es bei einer Vielzahl von Einträgen an Übersichtlichkeit fehlt.

    Alternativ könnte man daher zur Auswertung ein anderes Programm bemühen, beispielsweise Excel. Macht man dort dem Importassistenten für Textdateien die richtigen Angaben über den Aufbau der Datei, dann sollte es die einzelnen Spalten korrekt in eine Tabelle übernehmen. Zu bedenken ist nur, dass die Log-Datei für den Zugriff durch andere Anwendungen gesperrt ist, solange die Firewall sie geöffnet hält. Man kann sich behelfen, indem die Datei an einen anderen Speicherort kopiert.

    Keine Kommentare