Freigeben über

Rechnungsprüfung

  • Artikel

Die Windows-Filterplattform (WFP) stellt die Überwachung von Firewall- und IPsec-bezogenen Ereignissen bereit. Diese Ereignisse werden im Systemsicherheitsprotokoll gespeichert.

Die überwachten Ereignisse sind wie folgt.

Überwachungskategorie Überwachungsunterkategorie Überwachte Ereignisse
Richtlinienänderung
{6997984D-797A-11D9-BED3-505054503030}
 Änderung der Filterplattformrichtlinie
{0CCE9233-69AE-11D9-BED3-505054503030}
 Hinweis: Die Zahlen stellen die Ereignis-IDs dar, die von der Ereignisanzeige (eventvwr.exe) angezeigt werden.
Hinzufügen und Entfernen von WFP-Objekten:
- 5440 Persistente Legende hinzugefügt
- 5441 Startzeit oder beständiger Filter hinzugefügt
- 5442 Beständiger Anbieter hinzugefügt
- 5443 Beständiger Anbieterkontext hinzugefügt
- 5444 Persistente Unterebene hinzugefügt
- 5446 Laufzeitbeschriftung hinzugefügt oder entfernt
- 5447 Laufzeitfilter hinzugefügt oder entfernt
- 5448 Laufzeitanbieter hinzugefügt oder entfernt
- 5449 Laufzeitanbieterkontext hinzugefügt oder entfernt
- 5450 Laufzeit-Unterebene hinzugefügt oder entfernt
Objektzugriff
{6997984A-797A-11D9-BED3-505054503030}
 Filterplattform-Paketablage
{0CCE9225-69AE-11D9-BED3-505054503030}
 Von WFP abgelegte Pakete:
  • 5152 Paket verworfen
  • 5153 Paket vetoiert
Objektzugriff
 Filterplattformverbindung
{0CCE9226-69AE-11D9-BED3-505054503030}
 Zulässige und blockierte Verbindungen:
- 5154 Zulässige Listen
- 5155 Blockierte Listen
- 5156 Zulässige Verbindung
- 5157 Verbindung blockiert
- 5158 Zulässige Bindung
- 5159 Blockierte Bindung
Hinweis: Zulässige Verbindungen überwachen nicht immer die ID des zugeordneten Filters. Die FilterID für TCP ist 0, es sei denn, eine Teilmenge dieser Filterbedingungen wird verwendet: UserID, AppID, Protokoll, Remoteport.
Objektzugriff
 Andere Objektzugriffsereignisse
{0CCE9227-69AE-11D9-BED3-505054503030}
 Hinweis: Diese Unterkategorie ermöglicht viele Audits. WFP-spezifische Audits sind unten aufgeführt.
Denial of Service Prevention-Status:
- 5148 WFP DoS Prevention Mode gestartet
- 5149 WFP DoS Prevention Mode beendet
Anmelden/Abmelden
{69979849-797A-11D9-BED3-505054503030}
 IPsec-Hauptmodus
{0CCE9218-69AE-11D9-BED3-505054503030}
 IKE- und AuthIP-Hauptmodus-Aushandlung:
  • 4650, 4651 Sicherheitszuordnung eingerichtet
  • 4652, 4653 Aushandlung fehlgeschlagen
  • 4655 Sicherheitszuordnung wurde beendet
Anmelden/Abmelden
 IPsec-Schnellmodus
{0CCE9219-69AE-11D9-BED3-505054503030}
 IKE- und AuthIP-Schnellmodus-Aushandlung:
  • 5451 Sicherheitszuordnung eingerichtet
  • 5452 Sicherheitszuordnung wurde beendet
  • 4654 Aushandlung fehlgeschlagen
Anmelden/Abmelden
Erweiterter IPsec-Modus
{0CCE921A-69AE-11D9-BED3-505054503030}
 Aushandlung des erweiterten Authentifizierungsmodus:
  • 4978 Ungültiges Aushandlungspaket
  • 4979, 4980, 4981, 4982 Sicherheitsvereinigung gegründet
  • 4983, 4984 Aushandlung fehlgeschlagen
System
{69979848-797A-11D9-BED3-505054503030}
 IPsec-Treiber
{0CCE9213-69AE-11D9-BED3-505054503030}
 Pakete, die vom IPsec-Treiber abgelegt wurden:
  • 4963 Eingehendes Klartextpaket verworfen

Die Überwachung für WFP ist standardmäßig deaktiviert.

Die Überwachung kann pro Kategorie entweder über das MMC-Snap-In des Gruppenrichtlinienobjekt-Editors, das MMC-Snap-In für lokale Sicherheitsrichtlinien oder den Befehl auditpol.exe aktiviert werden.

Um beispielsweise die Überwachung von Richtlinienänderungsereignissen zu aktivieren, können Sie folgende Aktionen ausführen:

  • Verwenden des Gruppenrichtlinienobjekt-Editors

    1. Führen Sie gpedit.mscaus.
    2. Erweitern Sie die Richtlinie für den lokalen Computer.
    3. Erweitern Sie die Computerkonfiguration.
    4. Erweitern Sie die Windows-Einstellungen.
    5. Erweitern Sie die Sicherheitseinstellungen.
    6. Erweitern Sie lokale Richtlinien.
    7. Klicken Sie auf "Richtlinie überwachen".
    8. Doppelklicken Sie auf "Richtlinienänderung überwachen", um das Dialogfeld "Eigenschaften" zu starten.
    9. Aktivieren Sie die Kontrollkästchen "Erfolg" und "Fehler".

  • Verwenden der lokalen Sicherheitsrichtlinie

    1. Führen Sie secpol.mscaus.
    2. Erweitern Sie lokale Richtlinien.
    3. Klicken Sie auf "Richtlinie überwachen".
    4. Doppelklicken Sie auf "Richtlinienänderung überwachen", um das Dialogfeld "Eigenschaften" zu starten.
    5. Aktivieren Sie die Kontrollkästchen "Erfolg" und "Fehler".

  • Verwenden des Befehls "auditpol.exe"

    • auditpol /set /category:"Policy Change" /success:enable /failure:enable

Die Überwachung kann pro Unterkategorie nur über den Befehl auditpol.exe aktiviert werden.

Die Überwachungskategorie und Unterkategorienamen werden lokalisiert. Um die Lokalisierung für Überwachungsskripts zu vermeiden, können die entsprechenden GUIDs anstelle der Namen verwendet werden.

Um beispielsweise die Überwachung von Änderungsereignissen für Filterplattformrichtlinien zu aktivieren, können Sie einen der folgenden Befehle verwenden:

  • auditpol /set /subcategory:"Filterplattform-Richtlinienänderung" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol-

Ereignisprotokoll-

Gruppenrichtlinien-