Ho questa lacuna: individuare precisamente particolari eventi indicati nel firewall quindi applicare regole diverse da quelle stabilite.
Se ad esempio, leggo nel log che il programma/servizio wmpnetwk.exe fosse stato bloccato, anche da ignorante potrei rintracciare rapidamente il programma o processo che sia, anche perché Comodo mi comunica oltre al nome del file il percorso; quindi è facile effettuare opportune ricerche/analisi sulla legittimità del programma e attuare eventuali modifiche.
Nel caso in questione, negli eventi del Firewall ho un servizio
in uscita da UDP, visualizzato come "Windows Operating System" su porta UDP avente come destinazione un indirizzo interno alla rete (192.168.1.xxx).
Scorrendo il log, vedo anche che "System" risulta essere stato bloccato come protocollo TCP con indirizzi non più visualizzati come IP ma come MAC.
Volendo assumere per semplicità che i citati servizi siano effettivamente lanciati dal S.O. legittimo (e quindi non controllati da eventuali rootkits/malware), in che modo posso intercettare/individuare questi due servizi e dare loro completo accesso ?
Ho controllato le "Regole di sicurezza della rete" > "Regole Applicazioni" stranamente alla voce "Applicazioni di Sistema", come anche per gli "Aggiornamenti di Windows": c'è una regola "
Personale" (che non ricordo di aver compilato), che consente - su protocollo IP la sola uscita "qualunque/qualunque/qualsiasi". Questa regola mi torna strana... Partendo dalla logica strutturale delle regole, che quanto non espressamente consentito viene vietato, Il blocco può forse dipendere da questa regola ?
Relativamente a System ci sono queste regole:
Comodo V5.8.213334.2131
Grazie, ciao !