✨
Defender Firewall
停止
# Windows Defenderセキュリティセンターの通知を無効にする
$registryPath = "HKLM:\SOFTWARE\Microsoft\Security Center\Feature"
$registryName = "FirewallDisableNotify"
# 通知を無効にする
New-ItemProperty -Path $registryPath -Name $registryName -Value 1 -PropertyType DWORD -Force | Out-Null
# 変更を反映させるためにWindows Defenderサービスを再起動する
Restart-Service "wscsvc"
有効
# ファイアウォールの通知を有効にする
$registryPath = "HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall"
$registryName = "DisableNotifications"
# 通知を有効にする(値を 0 に設定)
New-ItemProperty -Path $registryPath -Name $registryName -Value 0 -PropertyType DWORD -Force | Out-Null
# 変更を反映させるためにWindows Defenderサービスを再起動する
Restart-Service "wscsvc"
Log
- Path
C:\Windows\System32\winevt\Logs\Security.evtx
- Logの状況確認
Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=5152 or EventID=5156 or EventID=5157]]"
-
EventID 5152: ファイアウォールの設定が変更されました
- 説明: ファイアウォール ポリシーが変更されたことを示します。これには、新しいルールの追加、既存のルールの変更などが含まれます。
-
EventID 5156: ファイアウォールの設定が変更されました
- 説明: ファイアウォール ポリシーが変更されたことを示します。5152と似ていますが、これは詳細な情報を提供し、セキュリティの主体(ユーザーアカウントやサービスアカウントなど)を指定することができます。
-
EventID 5157: ファイアウォール ルールが追加または変更されました
- 説明: ファイアウォール ルールが追加または変更されたことを示します。このイベントは、通信の許可や拒否に関する詳細な情報を提供します。
Discussion