启用windows防火墙：允许记录日志

0X00 前言

我们平时也可以使用类似的方法对windows访问网络进行日志记录。方便我们审查我们平时上网的日志。当然也可以对别人用自己的电脑进行上网时的留下的记录进行审核。

0x01 具体步骤

1 打开运行输入 gpedit.msc

2 点击 计算机配置--- 管理模板 --- 网络 --- 网络连接 --- windows防火墙 -- 标准配置文件
3 在 标准配置文件 的右侧找到 windows防火墙：允许记录日志
4 勾选 已启用
5 点击弹窗的右下角的 确定 按钮

0x02 相关说明

允许 Windows 防火墙记录有关其接收的未经请求的传入消息的信息。


如果启用此策略设置，Windows 防火墙会将信息写入日志文件。必须提供日志文件的名称、位置和最大大小。位置可以包含环境变量。还必须指定是否记录有关防火墙阻止(丢弃)的传入消息的信息，以及有关成功的传入和传出连接的信息。Windows 防火墙不提供用于记录成功传入消息的选项。


如果正在配置日志文件名称，请确保 Windows 防火墙服务帐户具有对包含日志文件的文件夹的写入权限。日志文件的默认路径是 %systemroot%\system32\LogFiles\Firewall\pfirewall.log。


如果禁用此策略设置，则 Windows 防火墙不会在日志文件中记录信息。如果启用此策略设置，并且 Windows 防火墙已创建日志文件并添加信息，则在禁用此策略设置时，Windows 防火墙不会改动日志文件。


如果未配置此策略设置，Windows 防火墙将其视为被禁用。

0x03 拓展延伸

对于 gpedit.msc （组策略），这个是一个需要很多灵活配置的东西，里面涉及的内容和配置选项非常多，但是可配置的东西非常多。由此可见熟练配置windows系统的技能一点不容易，绝对不会比linux上的配置简单。因为涉及到很多用户权限、活动目录、家庭组、各种访问控制。

利用好 gpedit.msc ，完全可以配置出一个很好的安全策略。

欢迎大家分享更好的思路，热切期待^^_^^ !!！