Как отслеживать сетевую активность с помощью журналов Брандмауэра Windows

Если вы пользуетесь системой Windows, то скорее всего знаете о на наличии в ней встроенного брандмауэра. Возможно вы также умеете разрешать и блокировать доступ отдельных программ в сеть, чтобы контролировать входящий и исходящий трафик. Но знаете ли вы, что фаервол Windows может быть использован для регистрации всех проходящих через него соединений?

Журналы Брандмауэра Windows могут быть полезны при решении отдельных проблем:

• Используемая программа не может подключиться к Интернету, несмотря на то, что с другими приложениями эта проблема не наблюдается. В данном случае для устранения неисправности следует проверить, не блокирует ли системный фаервол запросы данной программы на подключение.
• Вы подозреваете, что компьютер используется для передачи данных вредоносной программой и хотите провести мониторинг исходящего трафика на предмет подозрительных запросов подключения.
• Вы создали новые правила разрешения и блокировки доступа и хотите убедиться, что фаервол корректно обрабатывает заданные инструкции.

Независимо от причин использования, включение протоколирования событий может быть сложной задачей, так как требует многих манипуляций с настройками. Приведем четкий алгоритм действий, как активировать регистрацию сетевой активности в фаерволе Windows.

Доступ к настройкам фаервола

Во-первых, нужно перейти к расширенным настройкам брандмауэра Windows. Откройте панель управления (клик правой кнопкой мыши по меню Пуск, опция “Панель управления”), затем нажмите ссылку “Брандмауэр Windows”, если стоит режим просмотра мелкие/крупные значки, либо выберите раздел “Система и безопасность”, а затем “Брандмауэр Windows”, если стоит режим просмотра категория.

В окне фаервола выберите опцию в левом навигационном меню “Дополнительные параметры”.

Вы увидите следующий экран настроек:

Это внутренняя техническая сторона брандмауэра Windows. Данный интерфейс позволяет разрешать или блокировать доступ программ в Интернет, настраивать входящие и исходящий трафик. Кроме того, именно здесь можно активировать функцию регистрации событий — хотя не сразу понятно, где это можно сделать.

Доступ к настройкам журнала

Во-первых, выберите опцию “Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)”.

Кликните правой кнопкой мыши по ней и выберите опцию “Свойства”.

Откроется окно, которое может запутать пользователя. При выборе трех вкладок (Профиль домена, Частный профиль, Общий профиль) можно заметить, что их содержимое идентично, но относится к трем различным профилям, название которых указано в заголовке вкладки. На вкладке каждого профиля содержится кнопка настройки ведения журнала. Каждый журнал будет соответствовать отдельному профилю, но какой профиль используете вы?

Рассмотрим, что означает каждый профиль:

• Профиль домена используется для подключения к беспроводной сети Wi-Fi, когда домен задается контроллером домена. Если вы не уверены, что это значит, лучше не используйте данный профиль.
• Частный профиль используется для подключения к частным сетям, включая домашние или персональные сети — именно данный профиль вы скорее всего будете использовать.
• Общий профиль используется для подключения к общественным сетям, включая сети ресторанов, аэропортов, библиотек и других учреждений.

Если вы используете компьютер в домашней сети, перейдите на вкладку “Частный профиль”. Если используется публичная сеть, перейдите на вкладку “Общий профиль”. Нажмите кнопку “Настроить” в секции “Ведение журнала” на корректной вкладке.

Активация журнала событий

В открывшемся окне вы можете настроить расположение и максимальный размер журнала. Можно задать легко запоминающееся место для лога, но на самом деле локация файла журнала не имеет особо значения. Если вы хотите запустить регистрацию событий, в обоих выпадающих меню “Записывать пропущенные пакеты” и “Записывать успешные подключения” установите значение “Да” и нажмите кнопку “ОК”. Постоянная работа функции может привести к проблемам производительности, поэтому активируйте ее только когда действительно нужно выполнить мониторинг подключений. Для отключения функции логирования установите значение “Нет (по умолчанию)” в обоих выпадающих меню.

Изучение журналов

Теперь компьютер будет фиксировать сетевую активность, контролируемую фаерволом. Для того, чтобы просмотреть логи, перейдите в окно “Дополнительные параметры”, выберите опцию “Наблюдение” в левом списке, а затем в секции “Параметры ведения журнала” кликните ссылку “Имя файла”.

Затем откроется журнал сетевой активности. Содержимое журнала может запутать неопытного пользователя. Рассмотрим основное содержимое записей журнала:

1. Дата и время подключения.
2. Что произошло с подключением. Статус “ALLOW” означает, что фаервол разрешил подключение, а статус “DROP” показывает, что подключение было заблокировано фаерволом. Если вы столкнулись с проблемами подключения к сети отдельной программы, то сможете точно определить, что причина проблемы связана с политикой брандмауэра.
3. Тип подключения — TCP или UDP.
4. По порядку: IP-адрес источника подключения (компьютера), IP-адрес получателя (например, веб-страницы) и используемый на компьютере сетевой порт. Данная запись позволяет выявлять порты, которые требуют открытия для работы ПО. Также следите за подозрительными подключениями — они могут быть совершены вредоносными программами.
5. Был ли успешно отправлен или получен пакет данных.

Информация в журнале поможет выяснить причину проблем подключения. Журналы могут регистрировать и другую активность, например, целевой порт или номер подтверждения TCP. Если вам нужны подробности, ознакомьтесь со строкой “#Fields” в верхней части лога, чтобы идентифицировать значение каждого показателя.

Не забудьте отключить функцию ведения журнала после завершения работы.

Расширенная диагностика сети

С помощью использования журнала брандмауэра Windows, вы можете проанализировать типы данных, обрабатываемых на компьютере. Кроме того, можно установить причины проблем с сетью, связанные с работой фаервола или другими объектами, нарушающими соединения. Журнал активности позволяет ознакомиться с работой фаервола и получить четкое представление о происходящем в сети.

Как решить проблемы с сетевым подключением в Windows 10

Любое современное устройство на Windows, не подключенное к интернету, теряет большую часть своей функциональности. Именно поэтому проблемы с подключением к сети в Windows — одни из самых неприятных. В этой инструкции мы собрали возможные способы исправить возникшие с сетью неполадки, например:

• Не работает интернет или не открываются сайты.
• Невозможно подключиться к Wi-Fi.
• Wi-Fi отключается сам по себе.
• Сеть обозначена как неопознанная или ограниченная.

В этой статье рассматриваются софтверные способы решения проблем, то есть, исправление программного обеспечения. Прежде чем воспользоваться ими, рекомендуем сделать следующее:

• Перезагрузите роутер и компьютер. Это помогает чуть ли не в половине случаев.
• Проверьте, не отошёл ли LAN-кабель.
• Отключите антивирусную программу, фаервол, брандмауэр, VPN-клиенты и другие приложения, способные влиять на интернет-подключение. В некоторых ситуациях (например, после обновления с Windows 7/8 до 10) следует попробовать полностью удалить антивирус.
• Позвоните в техническую поддержку интернет-провайдера и уточните, не возникла ли проблема на его стороне. Возможно, проходят какие-либо технические работы или он изменил настройки интернет-подключения.

Если вы уверены, что неполадка на стороне Windows, тогда вам следует переходить к инструкциям ниже.

Как решить проблему с драйвером сетевого адаптера

Довольно часто причиной неполадок с сетью становятся ошибки или некорректные настройки драйвера сетевого адаптера. Кроме того, иногда Центр обновления Windows или сторонние программы устанавливают в систему неподходящий для вашей сетевой карты драйвер. Разумеется, в таком случае она не будет стабильно работать.

Как обновить или откатить драйвер сетевого адаптера

1. Нажмите Win + R. Введите команду devmgmt.msc и нажмите Enter.
   

Как запретить отключение сетевого адаптера для экономии энергии

В случае, если какой-либо некритический компонент компьютера не используется, Windows может выключать его для экономии энергии. Сетевой адаптер также входит в разряд «некритических», так что стоит позаботиться об отключении опции энергосбережения.

Нажмите Win + R. Введите команду devmgmt.msc и нажмите Enter.

Как настроить параметры TCP/IP

Если проблема не в драйвере, нужно изучить основные программные настройки, которые влияют на интернет-подключение. Необходимо проверить, активированы ли нужные протоколы, и как работает получение IP-адреса и DNS.

Проверка активированных сетевых протоколов

Для нормальной работы интернета необходимо, чтобы основной протокол IPv4 был активирован. Кроме того, стоит попробовать включить и выключить протокол IPv6 — в некоторых ситуациях сетевое подключение может вести себя непредсказуемо именно из-за него.

1. Нажмите Win + R. Введите команду ncpa.cpl и нажмите Enter.
   
2. Найдите нужный сетевой адаптер, кликните по нему правой клавишей мыши и выберите пункт Свойства.
   
3. Проверьте, стоит ли галочка напротив IP версии 4 (TCP/IPv4). Если нет, то поставьте её и перезагрузите компьютер.
4. Проверьте, стоит ли галочка напротив IP версии 6 (TCP/IPv6). Попробуйте поставить/снять её и перезагрузить компьютер.
   

Проверка настроек получения IP-адреса и DNS

Если активация или деактивация протоколов не помогли, стоит проверить настройки IP и DNS.

1. Нажмите Win + R. Введите команду ncpa.cpl и нажмите Enter.
   
2. Найдите нужный сетевой адаптер, кликните по нему правой клавишей мыши и выберите пункт Свойства.
   
3. Кликните на пункт IP версии 4 (TCP/IPv4) и нажмите на кнопку Свойства.
   
4. В случае, если в поле категории Использовать следующий IP-адрес уже внесены какие-то данные, и вы не вставляли их намеренно, поставьте галочку Получить IP-адрес автоматически.
5. Аналогично сделайте с DNS. Если параметры уже настроены, но вы их не изменяли, поставьте галочку Получить адрес DNS-сервера автоматически.
   
6. Повторите эти же операции с IP версии 6 (TCP/IPv6).

Если это не решило проблему, следует попробовать изменить адреса DNS на предоставляемые Google. Довольно часто это помогает.

1. Поставьте галочку Использовать следующие адреса DNS-серверов.
2. Введите в поле Предпочитаемый DNS-сервер цифры 8.8.8.8.
3. Введите в поле Альтернативный DNS-сервер цифры 8.8.4.4.
   
4. Нажмите ОК.

После всех этих операций стоит перезагрузить компьютер, чтобы проверить, помогли они или нет.

Настройка стандарта FIPS

Иногда может помочь включение или отключение стандарта FIPS (Federal Information Processing Standards или Федеральные Стандарты Обработки Информации). Он создан для государственных учреждений США, но доступен компьютеров в любом регионе.

1. Нажмите Win + R. Введите команду ncpa.cpl и нажмите Enter.
   
2. Найдите нужный сетевой адаптер, кликните по нему правой клавишей мыши и выберите пункт Состояние.
   
3. Нажмите на кнопку Свойства беспроводной сети.
   
4. Переключитесь на вкладку Безопасность и кликните на Дополнительные параметры.
   
5. В зависимости от текущего состояния галочки Включить для этой сети режим совместимости с федеральным стандартом обработки информации (FIPS), включите или отключите указанный стандарт.
   
6. Перезагрузите компьютер.

Как сбросить параметры сетевого подключения через командную строку

Если изменение параметров сети не помогло, проблема, возможно, находится в системных файлах и настройках. Один из способов сбросить их — выполнить некоторые команды в консоли.

Запустите командную строку от имени администратора:

1. Нажмите Win + S. Введите в поисковую строку Командная строка.
2. Кликните по результату правой клавишей мыши и выберите Запустить от имени администратора.
   

Введите по очереди следующие шесть команд и перезагрузите компьютер:

1. netsh winsock reset
2. netsh int ip reset
3. netsh int tcp reset
4. ipconfig /release
5. ipconfig /renew
6. ipconfig /flushdns

Если при выполнении второй команды вы получите ошибку Сбой. Отказано в доступе, попробуйте выполнить следующие шаги:

1. Нажмите Win + R. Введите команду regedit и нажмите Enter.
   
2. Перейдите в:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nsi\\26
3. Кликните по папке 26 правой клавишей мыши и выберите пункт Разрешения.
   
4. Поставьте галочку Разрешить напротив пункта Полный доступ и нажмите Применить.
   
5. Попробуйте выполнить первую команду снова.
6. После того, как вы проделаете все необходимые операции и перезагрузите компьютер, нужно вернуть всё обратно. Поставьте галочку Запретить напротив пункта Полный доступ и нажмите Применить, затем ОК.

Как провести диагностику сетевого подключения средствами Windows 10

Встроенная утилита диагностики сетевого подключения иногда способна помочь отыскать и решить проблему, поэтому не стоит про неё забывать. Проверить параметры сетевого адаптера можно следующим образом:

1. Кликните по значку подключения в трее правой клавишей мыши и выберите пункт Диагностика неполадок.
   
2. Нажмите на надпись У меня другая проблема.
   
3. Кликните на Использование конкретного сетевого адаптера.
   
4. Выберите проблемное устройство и нажмите Далее. В принципе, можно просто указать Все сетевые адаптеры, чтобы провести диагностику любых проблем.
   
5. Подождите, пока утилита выполнит поиск и устранение неполадок.
   
6. Чтобы увидеть список конкретных проблем, кликните на надпись Просмотреть дополнительные сведения. Впрочем, можно сразу Закрыть средство устранения неполадок.
   

Можно также попробовать проверить возможность подключения к конкретным сайтам. Для этого на начальном экране утилиты выберите пункт Я пытаюсь получить доступ к определенному веб-сайту или сетевой папке и следуйте инструкциям. Впрочем, диагностика всех сетевых адаптеров включает в себя проверку наличия проблем доступа к сети.

Как сбросить параметры сети в Windows 10

Последним возможным решением проблемы с сетевым подключением является полный сброс всех параметров сети. Учтите, что будут удалены абсолютно все настройки, так что, если провайдер требует изменить их, после сброса придётся сделать это заново.

1. Откройте Параметры, перейдите в категорию Сеть и интернет.
2. В самом низу раздела Состояние нажмите на надпись Сброс сети.
   
3. Кликните на кнопку Сбросить сейчас.
   

Если даже полный сброс не помог, вам следует загрузиться в безопасном режиме с поддержкой сети и проверить, останется ли проблема. Если да, тогда одним из решений неполадки может быть переустановка Windows — универсальное лекарство от любых проблем в компьютере.