Defender Firewall

2023/12/09に公開

停止

# Windows Defenderセキュリティセンターの通知を無効にする
$registryPath = "HKLM:\SOFTWARE\Microsoft\Security Center\Feature"
$registryName = "FirewallDisableNotify"

# 通知を無効にする
New-ItemProperty -Path $registryPath -Name $registryName -Value 1 -PropertyType DWORD -Force | Out-Null

# 変更を反映させるためにWindows Defenderサービスを再起動する
Restart-Service "wscsvc"

有効

# ファイアウォールの通知を有効にする
$registryPath = "HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall"
$registryName = "DisableNotifications"

# 通知を有効にする(値を 0 に設定)
New-ItemProperty -Path $registryPath -Name $registryName -Value 0 -PropertyType DWORD -Force | Out-Null

# 変更を反映させるためにWindows Defenderサービスを再起動する
Restart-Service "wscsvc"

Log

  • Path
    C:\Windows\System32\winevt\Logs\Security.evtx
  • Logの状況確認
Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=5152 or EventID=5156 or EventID=5157]]"
  • EventID 5152: ファイアウォールの設定が変更されました

    • 説明: ファイアウォール ポリシーが変更されたことを示します。これには、新しいルールの追加、既存のルールの変更などが含まれます。
  • EventID 5156: ファイアウォールの設定が変更されました

    • 説明: ファイアウォール ポリシーが変更されたことを示します。5152と似ていますが、これは詳細な情報を提供し、セキュリティの主体(ユーザーアカウントやサービスアカウントなど)を指定することができます。
  • EventID 5157: ファイアウォール ルールが追加または変更されました

    • 説明: ファイアウォール ルールが追加または変更されたことを示します。このイベントは、通信の許可や拒否に関する詳細な情報を提供します。

Discussion