Zapora Windows: jak włączyć logowanie?

Zapora Windows jest obecna w systemie już od ćwierćwiecza. Najpierw była jednak wyłączona. Sytuacja zmieniała się wraz z kolejnymi Service Packami do Windows XP, gdzie wprowadzono oddzielny panel z ikoną zielonej tarczy - poprzedni interfejs w postaci przełącznika głęboko wewnątrz ustawień karty sieciowej, nie budził przekonania, że jest bezpiecznie. Użytkownicy preferują bardziej rozbudowane GUI, co jest źródłem popularności takich rozwiązań, jak Windows Firewall Control.

Sytuację odmienił Windows Vista, gdzie wprowadzono Zaporę Windows z Zaawansowanymi Zabezpieczeniami. Poza nowym, wzbogaconym interfejsem do tworzenia reguł, wprowadzono rozbudowany mechanizm filtrowania pakietów, podobny funkcjonalnie do filtrów w innych systemach operacyjnych. Mechanizm ten ma nazwę Platforma filtrowania systemu Windows (WFP) i jest nieusuwalnym elementem stosu sieciowego. Dzięki temu, funkcje zapory w programach antywirusowych i pakietach bezpieczeństwa nie dostarczają już własnych zapór, a integrują się właśnie z WFP.

Problem polega na tym, że zbiór reguł w panelu kontrolnym zapory to jedynie podzbiór wszysktich reguł naprawdę pracujących w WFP, a GUI zapory ukazuje się użytkownikowi bardzo rzadko i pozwala na niewiele. Większości przypadków zobaczymy go tylko wtedy, gdy nie przestawiliśmy profilu sieci na prywatny i/lub jakiś program żąda otwarcia portu nasłuchującego, na co nie ma pozwolenia - o które zapora poprosi okienkiem.

Poza tym, trudno zauważyć że zapora w ogóle pracuje. Jest to szczególnie uciążliwe w przypadku połączeń przychodzących. System nie może, rzecz jasna, wyświetlać powiadomienia dla każdego zbłąkanego pakietu w sieci, bowiem dziś przychodzą ich do nas tysiące. Domyślnie nie ma jednak żadnego sposobu na sprawdzenie, czy jakiś pakiet do nas dotarł i został "zrzucony", czy też w ogóle nie nastąpiła nawet próba połączenia lub pakiet zgubił się po drodze do nas.

Aby sprawdzić, czy mamy włączone logowanie (a jeśli tak - do jakiego pliku zapisywany jest log), należy użyć polecenia Powershell:

Wyświetli ono informację, czy włączone jest logowanie blokowanych połączeń. Domyślnie funkcja ta jest wyłączona ("False"), więc log będzie pusty. Aby włączyć logowanie pakietów zrzucanych przez zaporę (dla każdego profilu), należy posłużyć się następującym poleceniem:

Włączenie logowania może, teoretycznie, poskutkować lekkim spadkiem wydajności. Choć zazwyczaj będzie on niezauważalny, logowanie zrzucanych pakietów jest domyślnie wyłączone nie bez powodu. Być może nie mamy potrzeby pozostawiać go włączonego. Często bowiem za utratę pakietu odpowiada nie zapora, a NAT i brak odpowiedniego przekierowania na routerze/bramie podpiętej do internetu. Omijanie NAT jest możliwe, ale dość skomplikowane.

Jeżeli pozostawimy logi włączone, nie musimy się przejmować przepełnieniem dysku. Istnieje domyślna górna granica rozmiaru tego loga w postaci czterech megabajtów, więc nie będzie on rósł w nieskończoność. W końcu nowe wpisy zaczną wypychać z pliku stare. Maksymalny rozmiar można powiększyć do 32 megabajtów.

Ustawienia logowania można przestawić za pomocą interfejsu graficznego, ale jest on głęboko ukryty. Koniecznym jest udać się nie do Ustawień, a do Panelu Sterowania, następnie do sekcji System i zabezpieczenia, a potem do podsekcji Zapora Windows Defender. Wewnątrz należy przejść do opcji Ustawienia zaawansowane (wymagajacej uprawnień administracyjnych).

W nowym oknie Microsoft Management Console, w drzewie po lewej wybieramy pierwszy element ("Zapora...") i w panelu akcji po prawej - Właściwości. W kolejnym wyświetlonym oknie przechodzimy do proflu prywatnego i w sekcji Rejestrowanie wybieramy przycisk "Dostosuj...". W ostatnim, czwartym już oknie, możemy przestawić opcję "Rejestruj porzucone pakiety" na "Tak".

Niestety, nawet gdy włączymy logowanie, dowiemy się jednie, że pakiet został zablokowany przez zaporę. Z loga nie uda się nam wywnioskować która reguła do tego doprowadziła. Powiązanie blokady z regułą wymaga włączenia zaawansowanego trybu inspekcji oraz przeszukiwania plików XML zawierających stan usługi WFP. Tę skomplikowaną procedurę opiszemy w kolejnej części.