Im Rahmen von Härtungsmaßnahmen nach Vorgabe des Center for Internet Security (CIS) wird empfohlen, die Firewall-Protokollierung auf allen Windows-Servern zu aktivieren und jedes Profil in einer eigenen Protokolldatei zu speichern.
Also für jedes Profil ein eigener Pfad:
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows Firewall mit erweiterter Sicherheit\...
...Domänenprofil\Protokollierung\Anpassen...
Name: %systemroot%\system32\logfiles\firewall\domainfw.log
...Privates Profil\Protokollierung\Anpassen...
Name: %systemroot%\system32\logfiles\firewall\privatefw.log
...Öffentliches Profil\Protokollierung\Anpassen...
Name: %systemroot%\system32\logfiles\firewall\publicfw.log
Dies in der Gruppenrichtlinie zu konfigurieren ist ziemlich einfach. Denn man gibt einfach den neuen Dateinamen für jedes Profil an, legt die max. Größe fest und entscheidet ob man verworfene und/oder auch erfolgreiche Verbindungen protokollieren möchte.
Nach Aktivierung der GPO funktionierte das Logging allerdings nicht und die Dateien dafür werden auch nicht erstellt. Sehr ärgerlich, denn es werden auch keine Fehler angezeigt. Im Idealfall bekommt man ein Popup-Fenster mit dem Hinweis "Datei existiert nicht, möchten Sie jetzt diese Datei erstellen?". Kann man bejahen und danach wird das Log-File aber immer noch leer sein.
Jetzt kann man auf jedem Server in die Windows-Firewall gehen, in jedes Profil gehen und neben dem Dateinamen auf "Durchsuchen" klicken, dann erstellt die MMC netterweise die Datei und setzt die richtigen Berechtigungen, aber GPOs tun dies nicht...
Es gibt hierfür nun zwei Lösungen.
Lösung Nr. 1
Man verbindet sich mit der betroffenen Maschine (Server oder Client macht keinen Unterschied) und navigiert zum Pfad:
%systemroot%\system32\LogFiles\Firewall\
Hier kann es sein, dass der Ordner "Firewall" nicht vorhanden ist. Also muss man diesen auch noch erstellen. Danach vergibt man folgende Berechtigungen (im Reiter Sicherheit):
- NT-AUTORITÄT\SYSTEM [VOLLZUGRIFF]
- Administratoren [VOLLZUGRIFF]
- NT Service\MpsSvc [VOLLZUGRIFF]
Lösung Nr. 2
Man lässt die entsprechenden Anpassungen über Gruppenrichtlinien konfigurieren:
Gruppenrichtlinienpfad: Computerkonfiguration\Einstellungen\Windows-Einstellungen\Ordner\
-> Neu -> Ordner
Aktion: Erstellen
Pfad: %SystemRoot%\Systeme32\LogFiles\Firewall
Attribute: Archiv
Gruppenrichtlinienpfad: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Dateisystem
-> Datei hinzufügen
Ordner: %SystemRoot%\System32\LogFiles\Firewall
Sicherheit (Gruppen- oder Benutzername:) NT-AUTORITÄT\SYSTEM [VOLLZUGRIFF]
Sicherheit (Gruppen- oder Benutzername:) Administratoren [VOLLZUGRIFF]
Sicherheit (Gruppen- oder Benutzername:) NT Service\MpsSvc [VOLLZUGRIFF]