我们有一些服务器启用了 Windows 防火墙并启用了断开连接的日志记录。
我们观察到,当我们使用 nmap 进行端口扫描时,日志 (pfirewall.log) 仅报告尝试连接监听端口。未监听的端口则不会报告,这使得检测端口扫描变得更加困难。
有哪些可能的选择?
答案1
这似乎是 Windows 不可避免的功能。仅记录与已打开端口的连接。
可以使用 netsh wfp 进行日志记录:https://technet.microsoft.com/en-us/library/ff428146%28v=ws.10%29.aspx