Firewall Windows & matching rule & svchost
|
17-07-2014, 01h25
(Modification du message : 17-07-2014, 01h27 par gruik.)
Message : #6
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Firewall Windows & matching rule & svchost
ok en fait les logs dont tu parles ne sont pas activés par défaut, il faut au minimum les activer via la console de management et la configuration avancée du firewall (%windir%\System32\mmc.exe %windir%\System32\wf.msc)
mais ces logs ne recensent au mieux que les paquets/connexions rejetés/droppés entrants, et en l’occurrence c'est le trafic sortant qui m’intéresse ici le principe est simple, j'ai ce qui s'apparente sous windows à une default output policy drop (donc rien ne sort sans que je l'autorise explicitement), mon propos étant que lorsque j'installe un nouveau logiciel ou autre, je sais pas forcément quels ports il utilise, quels protocoles etc. du coup on peut vite être perdu (si si, essayez vous verrez) finalement j'ai réussi à logguer tous les paquets droppés et avoir des infos un peu pertinentes (le nom du processus et son chemin typiquement) via auditpol Code BATCH :
C:\>auditpol /set /subcategory:"Modification de la stratégie de niveau règle MPSSVC", on récupère ensuite lesdits logs via l'observateur d'évènements (%windir%\system32\eventvwr.msc /s) reste que - et c'était ça ma question finalement - : - il subsiste dans le firewall des règles pré-existantes qui droppent explicitement malgré la policy en vigueur, si un paquet se fait attraper par une de ces règles, je ne sais pas comment l'identifier à part avec un pif un peu chanceux - si le processus est svchost, j'ai pas plus d'infos, là encore le coup d'utiliser tasklist /svc est utile mais ça reste un peu du pif, un peu trop flou, "on se doute que c'est par ici que c'est passé et que c'est à cause de celui là" mais y'a rien de formel
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure. Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément. (Nicolas Boileau, L'Art poétique) |
|
« Sujet précédent | Sujet suivant »
|
Messages dans ce sujet |
Firewall Windows & matching rule & svchost - par gruik - 15-07-2014, 12h52
RE: Firewall Windows & matching rule & svchost - par Booster2ooo - 15-07-2014, 13h02
RE: Firewall Windows & matching rule & svchost - par 0pc0deFR - 15-07-2014, 23h02
RE: Firewall Windows & matching rule & svchost - par gruik - 16-07-2014, 09h42
RE: Firewall Windows & matching rule & svchost - par 0pc0deFR - 16-07-2014, 18h36
RE: Firewall Windows & matching rule & svchost - par gruik - 17-07-2014, 01h25
RE: Firewall Windows & matching rule & svchost - par gruik - 20-07-2014, 11h57
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Installer Windows 8.1 sur un PC sans OS | InforMods | 6 | 312 |
04-11-2016, 21h21 Dernier message: InforMods |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)