Come tracciare le attività di Windows Defender Firewall con sicurezza avanzata Log

Per poter tracciare le attività di Windows Defender Firewall dobbiamo abilitare i logs.

  1. Dalla Console di Gestione criteri di gruppo per Windows Defender Firewall con sicurezza avanzata.

  2. Nel riquadro dei dettagli, nella sezione Panoramica , fai clic su Proprietà di Windows Defender Firewall.
  3. Per ogni tipo di posizione rete (dominio, privato, pubblico), eseguire i passaggi seguenti.
    1. Fare clic sulla scheda corrispondente al tipo di percorso di rete.
    2. Sotto la registrazione, fare clic su Personalizza.

    3. Il percorso predefinito per il log è %windir%\system32\logfiles\firewall\pfirewall.log. Se si desidera modificare questa impostazione, deseleziona la casella di controllo non è configurato e digita il percorso nella nuova posizione oppure fare clic su Sfoglia per selezionare un percorso di file.
    4. Le dimensioni massime file predefinito per il log sono 4.096 kilobyte (KB). Se si desidera modificare questa impostazione, deseleziona la casella di controllo non è configurato , digitare nella nuova dimensione in KB, o usare la freccia e freccia giù per selezionare una dimensione. Il file non aumenteranno oltre a queste dimensioni; Quando viene raggiunto il limite, le voci del registro precedente vengono eliminate per lasciare spazio per quelli appena creati.
    5. La registrazione non avviene finché non viene impostata una delle seguenti due opzioni:
      • Per creare una voce di registro quando Windows Defender Firewall scende di un pacchetto di rete in ingresso, modificare Registra pacchetti ignorati a .
      • Per creare una voce di registro quando Windows Defender Firewall consente una connessione in ingresso, modificare Registra connessioni riuscite a .
    6. Fai clic su OK due volte.

Installazione RSAT ad ogni aggiornamento di Windows 10 con PowerShell

Ad ogni aggiornamento di Windows 10 puntualmente perdo gli strumenti di amministrazione remota RSAT. La cosa devo dire che è molto fastidiosa perché di solito mi vado a cercare il parchetto da installare e poi mi abilito gli strumenti che mi servono.

Dall’aggiornamento 1809 però ho scoperto che possiamo aggiungere una funzionalità direttamente dalle Impostazioni > App > Gestisci funzionalità facoltative oppure usando Powershell.

Con PowerShell (eseguita come amministrazione) lanciamo il comando:
get-windowscapability -Online -Name "RSAT*"
il risultato sarà una lista di strumenti presenti in RSAT, selezioniamo lo strumento che ci serve e lanciamo il comando:
add-windowscapability -Online -Name 'nome dello strumento'

Gli strumenti di amministrazione remota Server (RSAT) consentono agli amministratori IT di gestire ruoli e funzionalità di Windows Server 2016 di Windows Server, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 e Windows Server 2008 R2.