Sdílet prostřednictvím

Kontrola

  • Článek

Windows Filtering Platform (WFP) poskytuje auditování událostí souvisejících s bránou firewall a protokolem IPsec. Tyto události jsou uloženy v protokolu zabezpečení systému.

Auditované události jsou následující.

Kategorie auditování Podkategorie auditování Auditované události
Změna zásad
{6997984D-797A-11D9-BED3-505054503030}
 Změna zásad platformy filtrování
{0CCE9233-69AE-11D9-BED3-505054503030}
 Poznámka: Čísla představují ID událostí zobrazená prohlížečem událostí (eventvwr.exe).
Přidání a odebrání objektu WFP:
- Přidání trvalého bublinového popisku 5440
- 5441 Přidání spouštěcího nebo trvalého filtru
– 5442 Přidání trvalého zprostředkovatele
– 5443 Přidání kontextu trvalého zprostředkovatele
- Přidání trvalé podvrstvé vrstvy 5444
– 5446 Přidání nebo odebrání bublinového popisku za běhu
- 5447 Přidání nebo odebrání filtru za běhu
– 5448 Přidání nebo odebrání zprostředkovatele za běhu
– 5449 Přidání nebo odebrání kontextu zprostředkovatele za běhu
- Přidání nebo odebrání podvrstvé doby běhu 5450
Přístup k objektům
{6997984A-797A-11D9-BED3-505054503030}
 Filtrování zahozených paketů platformy
{0CCE9225-69AE-11D9-BED3-505054503030}
 Pakety zahozené službou WFP:
  • Vyřazený paket 5152
  • 5153 Vetoed paketů
Přístup k objektům
 Filtrování připojení platformy
{0CCE9226-69AE-11D9-BED3-505054503030}
 Povolená a blokovaná připojení:
- 5154 Naslouchací povolení
- 5155 Listen blocked
- Povolení připojení 5156
- 5157 Zablokované připojení
- 5158 Vázání povoleno
- 5159 Zablokované vazby
Poznámka: Povolená připojení ne vždy auditují ID přidruženého filtru. FilterID pro TCP bude 0, pokud se nepoužije podmnožina těchto podmínek filtrování: UserID, AppID, Protocol, Remote Port.
Přístup k objektům
 Další události přístupu k objektům
{0CCE9227-69AE-11D9-BED3-505054503030}
 Poznámka: Tato podkategorie umožňuje mnoho auditů. Níže jsou uvedeny konkrétní audity WFP.
Stav prevence odepření služby:
- 5148 Spuštění režimu prevence doS WFP
- 5149 Režim prevence doS WFP zastaven
Přihlášení/odhlášení
{69979849-797A-11D9-BED3-505054503030}
 Hlavní režim protokolu IPsec
{0CCE9218-69AE-11D9-BED3-505054503030}
 Vyjednávání o hlavním režimu IKE a AuthIP:
  • 4650, 4651 Přidružení zabezpečení zřízené
  • 4652, 4653 Vyjednávání selhalo
  • 4655 Přidružení zabezpečení skončilo
Přihlášení/odhlášení
 Rychlý režim IPsec
{0CCE9219-69AE-11D9-BED3-505054503030}
 Vyjednávání protokolu IKE a AuthIP v rychlém režimu:
  • 5451 Přidružení zabezpečení zřízené
  • 5452 Přidružení zabezpečení skončilo
  • 4654 Vyjednávání selhalo
Přihlášení/odhlášení
Rozšířený režim protokolu IPsec
{0CCE921A-69AE-11D9-BED3-505054503030}
 Vyjednávání rozšířeného režimu AuthIP:
  • 4978 Neplatný paket vyjednávání
  • 4979, 4980, 4981, 4982 Přidružení zabezpečení vytvořeno
  • 4983, 4984 Vyjednávání selhalo
Systém
{69979848-797A-11D9-BED3-505054503030}
 Ovladač IPsec
{0CCE9213-69AE-11D9-BED3-505054503030}
 Pakety vynechané ovladačem IPsec:
  • 4963 Vynechaný příchozí nesmazatelný textový paket

Ve výchozím nastavení je auditování pro WFP zakázané.

Auditování je možné povolit pro každou kategorii prostřednictvím modulu snap-in Editoru objektů zásad skupiny konzoly MMC, modulu snap-in Místní zásady zabezpečení konzoly MMC nebo příkazu auditpol.exe.

Pokud chcete například povolit auditování událostí změn zásad, můžete:

  • Použití editoru objektů zásad skupiny

    1. Spusťte gpedit.msc.
    2. Rozbalte zásady místního počítače.
    3. Rozbalte položku Konfigurace počítače.
    4. Rozbalte nastavení systému Windows.
    5. Rozbalte nastavení zabezpečení.
    6. Rozbalte místní zásady.
    7. Klikněte na Zásady auditu.
    8. Poklikejte na možnost Změnit zásadu auditu, aby se spustilo dialogové okno Vlastnosti.
    9. Zaškrtněte políčka Úspěch a Selhání.

  • Použití místních zásad zabezpečení

    1. Spusťte secpol.msc.
    2. Rozbalte místní zásady.
    3. Klikněte na Zásady auditu.
    4. Poklikejte na možnost Změnit zásadu auditu, aby se spustilo dialogové okno Vlastnosti.
    5. Zaškrtněte políčka Úspěch a Selhání.

  • Použití příkazu auditpol.exe

    • auditpol /set /category:"Změna zásad" /success:enable /failure:enable

Auditování je možné povolit pro jednotlivé podkategorie pouze prostřednictvím příkazu auditpol.exe.

Kategorie auditování a názvy podkategorií jsou lokalizované. Aby se zabránilo lokalizaci skriptů auditování, mohou se místo názvů použít odpovídající identifikátory GUID.

Pokud chcete například povolit auditování událostí změn zásad platformy filtrování, můžete použít některý z následujících příkazů:

  • auditpol /set /subcategory:"Filtrování změn zásad platformy" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol

protokolu událostí

zásad skupiny