Rechnungsprüfung
Die Windows-Filterplattform (WFP) stellt die Überwachung von Firewall- und IPsec-bezogenen Ereignissen bereit. Diese Ereignisse werden im Systemsicherheitsprotokoll gespeichert.
Die überwachten Ereignisse sind wie folgt.
Überwachungskategorie | Überwachungsunterkategorie | Überwachte Ereignisse |
---|---|---|
Richtlinienänderung {6997984D-797A-11D9-BED3-505054503030} |
Änderung der Filterplattformrichtlinie {0CCE9233-69AE-11D9-BED3-505054503030} |
Hinweis: Die Zahlen stellen die Ereignis-IDs dar, die von der Ereignisanzeige (eventvwr.exe) angezeigt werden. Hinzufügen und Entfernen von WFP-Objekten: - 5440 Persistente Legende hinzugefügt - 5441 Startzeit oder beständiger Filter hinzugefügt - 5442 Beständiger Anbieter hinzugefügt - 5443 Beständiger Anbieterkontext hinzugefügt - 5444 Persistente Unterebene hinzugefügt - 5446 Laufzeitbeschriftung hinzugefügt oder entfernt - 5447 Laufzeitfilter hinzugefügt oder entfernt - 5448 Laufzeitanbieter hinzugefügt oder entfernt - 5449 Laufzeitanbieterkontext hinzugefügt oder entfernt - 5450 Laufzeit-Unterebene hinzugefügt oder entfernt |
Objektzugriff {6997984A-797A-11D9-BED3-505054503030} |
Filterplattform-Paketablage {0CCE9225-69AE-11D9-BED3-505054503030} |
Von WFP abgelegte Pakete:
|
Objektzugriff |
Filterplattformverbindung {0CCE9226-69AE-11D9-BED3-505054503030} |
Zulässige und blockierte Verbindungen: - 5154 Zulässige Listen - 5155 Blockierte Listen - 5156 Zulässige Verbindung - 5157 Verbindung blockiert - 5158 Zulässige Bindung - 5159 Blockierte Bindung Hinweis: Zulässige Verbindungen überwachen nicht immer die ID des zugeordneten Filters. Die FilterID für TCP ist 0, es sei denn, eine Teilmenge dieser Filterbedingungen wird verwendet: UserID, AppID, Protokoll, Remoteport. |
Objektzugriff |
Andere Objektzugriffsereignisse {0CCE9227-69AE-11D9-BED3-505054503030} |
Hinweis: Diese Unterkategorie ermöglicht viele Audits. WFP-spezifische Audits sind unten aufgeführt. Denial of Service Prevention-Status: - 5148 WFP DoS Prevention Mode gestartet - 5149 WFP DoS Prevention Mode beendet |
Anmelden/Abmelden {69979849-797A-11D9-BED3-505054503030} |
IPsec-Hauptmodus {0CCE9218-69AE-11D9-BED3-505054503030} |
IKE- und AuthIP-Hauptmodus-Aushandlung:
|
Anmelden/Abmelden |
IPsec-Schnellmodus {0CCE9219-69AE-11D9-BED3-505054503030} |
IKE- und AuthIP-Schnellmodus-Aushandlung:
|
Anmelden/Abmelden |
Erweiterter IPsec-Modus {0CCE921A-69AE-11D9-BED3-505054503030} |
Aushandlung des erweiterten Authentifizierungsmodus:
|
System {69979848-797A-11D9-BED3-505054503030} |
IPsec-Treiber {0CCE9213-69AE-11D9-BED3-505054503030} |
Pakete, die vom IPsec-Treiber abgelegt wurden:
|
Die Überwachung für WFP ist standardmäßig deaktiviert.
Die Überwachung kann pro Kategorie entweder über das MMC-Snap-In des Gruppenrichtlinienobjekt-Editors, das MMC-Snap-In für lokale Sicherheitsrichtlinien oder den Befehl auditpol.exe aktiviert werden.
Um beispielsweise die Überwachung von Richtlinienänderungsereignissen zu aktivieren, können Sie folgende Aktionen ausführen:
Verwenden des Gruppenrichtlinienobjekt-Editors
- Führen Sie gpedit.mscaus.
- Erweitern Sie die Richtlinie für den lokalen Computer.
- Erweitern Sie die Computerkonfiguration.
- Erweitern Sie die Windows-Einstellungen.
- Erweitern Sie die Sicherheitseinstellungen.
- Erweitern Sie lokale Richtlinien.
- Klicken Sie auf "Richtlinie überwachen".
- Doppelklicken Sie auf "Richtlinienänderung überwachen", um das Dialogfeld "Eigenschaften" zu starten.
- Aktivieren Sie die Kontrollkästchen "Erfolg" und "Fehler".
Verwenden der lokalen Sicherheitsrichtlinie
- Führen Sie secpol.mscaus.
- Erweitern Sie lokale Richtlinien.
- Klicken Sie auf "Richtlinie überwachen".
- Doppelklicken Sie auf "Richtlinienänderung überwachen", um das Dialogfeld "Eigenschaften" zu starten.
- Aktivieren Sie die Kontrollkästchen "Erfolg" und "Fehler".
Verwenden des Befehls "auditpol.exe"
- auditpol /set /category:"Policy Change" /success:enable /failure:enable
Die Überwachung kann pro Unterkategorie nur über den Befehl auditpol.exe aktiviert werden.
Die Überwachungskategorie und Unterkategorienamen werden lokalisiert. Um die Lokalisierung für Überwachungsskripts zu vermeiden, können die entsprechenden GUIDs anstelle der Namen verwendet werden.
Um beispielsweise die Überwachung von Änderungsereignissen für Filterplattformrichtlinien zu aktivieren, können Sie einen der folgenden Befehle verwenden:
- auditpol /set /subcategory:"Filterplattform-Richtlinienänderung" /success:enable /failure:enable
- auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable