Delen via

Controle

  • Artikel

WFP (Windows Filtering Platform) biedt controle van firewall- en IPsec-gerelateerde gebeurtenissen. Deze gebeurtenissen worden opgeslagen in het systeembeveiligingslogboek.

De gecontroleerde gebeurtenissen zijn als volgt.

Controlecategorie Subcategorie controleren Gecontroleerde gebeurtenissen
Beleidswijziging
{6997984D-797A-11D9-BED3-505054503030}
 Wijziging van platformbeleid filteren
{0CCE9233-69AE-11D9-BED3-505054503030}
 Opmerking: De getallen vertegenwoordigen de gebeurtenis-id's zoals weergegeven door Logboeken (eventvwr.exe).
WFP-object toevoegen en verwijderen:
- 5440 Permanente bijschrift toegevoegd
- 5441 Opstarttijd of permanent filter toegevoegd
- 5442 Permanente provider toegevoegd
- 5443 Permanente providercontext toegevoegd
- 5444 Permanente sublaag toegevoegd
- 5446 Bijschrift voor runtime toegevoegd of verwijderd
- 5447 Runtimefilter toegevoegd of verwijderd
- 5448 Runtime-provider toegevoegd of verwijderd
- 5449 Runtime provider context toegevoegd of verwijderd
- 5450 Runtime-sublaag toegevoegd of verwijderd
Objecttoegang
{6997984A-797A-11D9-BED3-505054503030}
 Platformpakket filteren
{0CCE9225-69AE-11D9-BED3-505054503030}
 Pakketten die zijn verwijderd door WFP:
  • 5152 Pakket verwijderd
  • 5153 Pakket vetoed
Objecttoegang
 Platformverbinding filteren
{0CCE9226-69AE-11D9-BED3-505054503030}
 Toegestane en geblokkeerde verbindingen:
- 5154 Luister toegestaan
- 5155 Luister geblokkeerd
- 5156 Verbinding toegestaan
- 5157 Verbinding geblokkeerd
- 5158 Bind toegestaan
- 5159 Bind geblokkeerd
Opmerking: toegestane verbindingen controleren niet altijd de id van het gekoppelde filter. De FilterID voor TCP is 0, tenzij een subset van deze filtervoorwaarden wordt gebruikt: UserID, AppID, Protocol, Remote Port.
Objecttoegang
 Andere gebeurtenissen voor objecttoegang
{0CCE9227-69AE-11D9-BED3-505054503030}
 Opmerking: Deze subcategorie maakt veel controles mogelijk. WFP-specifieke audits worden hieronder vermeld.
Denial of Service-preventiestatus:
- 5148 WFP DoS-preventiemodus gestart
- 5149 WFP DoS-preventiemodus gestopt
Aanmelden/afmelden
{69979849-797A-11D9-BED3-505054503030}
 IPsec-hoofdmodus
{0CCE9218-69AE-11D9-BED3-5050545030}
 IKE- en AuthIP Main Mode-onderhandeling:
  • 4650, 4651 Beveiligingskoppeling opgericht
  • 4652, 4653 Onderhandeling is mislukt
  • 4655 Beveiligingskoppeling beĆ«indigd
Aanmelden/afmelden
 Snelle IPsec-modus
{0CCE9219-69AE-11D9-BED3-505054503030}
 IKE en AuthIP Quick Mode-onderhandeling:
  • 5451 Beveiligingskoppeling opgericht
  • 5452 Beveiligingskoppeling beĆ«indigd
  • 4654 Onderhandelen is mislukt
Aanmelden/afmelden
Uitgebreide IPsec-modus
{0CCE921A-69AE-11D9-BED3-505054503030}
 AuthIP Extended Mode-onderhandeling:
  • 4978 Ongeldig onderhandelingspakket
  • 4979, 4980, 4981, 4982 Beveiligingskoppeling opgericht
  • 4983, 4984 Onderhandeling is mislukt
Systeem
{69979848-797A-11D9-BED3-505054503030}
 IPsec-stuurprogramma
{0CCE9213-69AE-11D9-BED3-505054503030}
 Pakketten die zijn verwijderd door het IPsec-stuurprogramma:
  • 4963 Inkomende, gewiste tekstpakketten verwijderd

Standaard is controle voor WFP uitgeschakeld.

Controle kan per categorie worden ingeschakeld via de MMC-module Objecteditor groepsbeleid, de MMC-module Lokaal beveiligingsbeleid of de opdracht auditpol.exe.

Als u bijvoorbeeld de controle van gebeurtenissen voor beleidswijziging wilt inschakelen, kunt u het volgende doen:

  • De groepsbeleidsobjecteditor gebruiken

    1. Voer gpedit.mscuit.
    2. Vouw het beleid voor lokale computers uit.
    3. Vouw Computerconfiguratie uit.
    4. Vouw Windows-instellingen uit.
    5. Vouw Beveiligingsinstellingen uit.
    6. Vouw lokaal beleid uit.
    7. Klik op Controlebeleid.
    8. Dubbelklik op Wijziging van controlebeleid om het dialoogvenster Eigenschappen te starten.
    9. Schakel de selectievakjes Geslaagd en Mislukt in.

  • Het lokale beveiligingsbeleid gebruiken

    1. Voer secpol.mscuit.
    2. Vouw lokaal beleid uit.
    3. Klik op Controlebeleid.
    4. Dubbelklik op Wijziging van controlebeleid om het dialoogvenster Eigenschappen te starten.
    5. Schakel de selectievakjes Geslaagd en Mislukt in.

  • Gebruik de opdracht auditpol.exe

    • auditpol /set /category:"Beleidswijziging" /success:enable /failure:enable

Controle kan alleen per subcategorie worden ingeschakeld via de opdracht auditpol.exe.

De namen van de controlecategorie en subcategorie worden gelokaliseerd. Om lokalisatie voor controlescripts te voorkomen, kunnen de bijbehorende GUID's worden gebruikt in plaats van de namen.

Als u bijvoorbeeld de controle van gebeurtenissen voor het filteren van platformbeleidswijziging wilt inschakelen, kunt u een van de volgende opdrachten gebruiken:

  • auditpol /set /subcategory:"Filter Platform Policy Change" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol-

gebeurtenislogboek

groepsbeleid