в том и дело, что не всегда.

недавно столкнулся с проблемой, что при загрузке рабочего стола, доступ к сети отключался. Firewall как раз был в интерактивном режиме. Никаких сообщений и уведомлений по событиям авторизации сети я не получил. (при отключении ESET Firewall в свойствах подключения по локальной сети авторизация сети была успешной и  доступ к сети восстанавливался).
заглянул в мастер устранения проблем - обнаружил запись, что заблокированы входящие от шлюзового сетевого устройства (N/A), соответственно, блокировался и доступ к этому сетевому устройству. в итоге дальше шлюза я не мог выйти по локальной сети. После разблокировки устройства (в мастере), ip адрес автоматически добавился в исключения IDS, и больше при перезагрузках системы я с этой проблемой не сталкиваюсь. Вот для этого и нужен мастер устрранения неполадок в фаерволле.

Вы описываете, что "Мастер" отобразил проблемы авторизации сети, а именно заблокированное сетевое устройство. Я же говорю о том, что "Мастер устранения неполадок" перестал отображать заблокированные программы, для которых не было найдено разрешающее правило.

а в журнале фаерволла эти события с блокированием программ для которых нет разрешающих правил отображаются?

+
по определению:


т.е. здесь нет указания на то, что все заблокированные программы будут отображаться в "Мастере".

Если Вы создадите для конкретной программы правило (разрешающее или запрещающее - без разницы) с пометкой «Журнал», то журнал будет записывать все события.


Цитата: Мастер устранения неполадок автоматически отслеживает все заблокированные соединения и помогает устранять неполадки для исправления проблем с файерволом в работе определенных приложений и устройств.

До определенного времени "Мастер" работал именно так:

1) Вы ставили режим фильтрации "На основе политики".
2) Запускали приложение для которого у Вас отсутствовало правило (допустим, Internet Explorer).
3) Заходили в "Мастер" и видели там Internet Explorer с количеством заблокированных соединений.
4) Нажимали "Подробности" и видели список заблокированных IP адресов и портов с пометкой "Готового к использованию правила не найдено".

santy, у Вас стоит "Интерактивный режим", поэтому уже на 2 этапе фаервол Вам покажет окно с уведомлением и спросит что делать с программой (разрешить, заблокировать, создать правило и т.д.). Поэтому я и сказал, что в данном режиме "Мастер" не представляет интереса. А в "Режиме на основе политики" данные уведомления не показываются, вместо этого они складывались в "Мастер" с пометкой "Готового к использованию правила не найдено", чтобы позже можно было зайти туда и принять решение что разрешить, а что запретить.

в данном случае я спросил у вас конкретно: записываются ли события о заблокированных программах в журнал фаервола, если по этим программам не создано правил в режиме Политики?

по Мастеру: я привожу примеры из корпоративной версии Endpoint Security 6, возможно в EIS 11 логика другая. Как было раньше - не могу сказать, только в последнее время столкнулся с проблемами фаерволла, поэтому и обратился к "мастеру".

Нет, не записываются.

по EIS 11.0.159:
в автоматическом режиме видим, что в мастере показаны заблокированные соединения, которые либо запрещены существующими правилами,
либо, для которых еще не создано правило.

в режиме политик:
для IE действительно не было в конфиге правила для исходящих от этой программы,
что имеем после запуска IE (не вышла в сеть),
в Мастер добавлена запись:

после разблокировки данного приложения в мастере в правила фаерволла добавлено правило.
т.е. в данном случае это соответствует, тому о чем вы говорили для данного режима работы фаерволла.

добавлю, что в журнал фаерволла это событие по блокировки IE не попало.
а было добавлено в Мастер.

santy, спасибо за помощь.