Udostępnij za pośrednictwem

Inspekcja

  • Artykuł

Platforma filtrowania systemu Windows (WFP) zapewnia inspekcję zdarzeń związanych z zaporą i protokołem IPsec. Te zdarzenia są przechowywane w dzienniku zabezpieczeń systemu.

Zdarzenia poddane inspekcji są następujące.

Kategoria inspekcji Podkategoria inspekcji Zdarzenia poddane inspekcji
Zmiana zasad
{6997984D-797A-11D9-BED3-505054503030}
 Zmiana zasad platformy filtrowania
{0CCE9233-69AE-11D9-BED3-505054503030}
 Uwaga: Liczby reprezentują identyfikatory zdarzeń wyświetlane przez Podgląd zdarzeń (eventvwr.exe).
Dodawanie i usuwanie obiektu WFP:
- Dodano objaśnienie trwałe 5440
- Dodano filtr rozruchowy lub trwały 5441
- Dodano dostawcę trwałego 5442
- Dodano kontekst dostawcy trwałego 5443
- Dodano 5444 trwałą warstwę podrzędną
- 5446 Objaśnienie czasu wykonywania dodane lub usunięte
- Filtr czasu wykonywania 5447 został dodany lub usunięty
- 5448 Dostawca czasu wykonywania został dodany lub usunięty
— Dodano lub usunięto kontekst dostawcy czasu wykonywania 5449
- 5450 Warstwa podrzędna czasu wykonywania została dodana lub usunięta
Dostęp do obiektów
{6997984A-797A-11D9-BED3-505054503030}
 Usuwanie pakietów platformy filtrowania
{0CCE9225-69AE-11D9-BED3-505054503030}
 Pakiety porzucone przez WFP:
  • Porzucony pakiet 5152
  • 5153 Pakiet zawetowany
Dostęp do obiektów
 Filtrowanie połączenia platformy
{0CCE9226-69AE-11D9-BED3-505054503030}
 Dozwolone i zablokowane połączenia:
- Dozwolone jest nasłuchiwanie 5154
- Zablokowane nasłuchiwanie 5155
- Dozwolone połączenie 5156
- Zablokowane połączenie 5157
- Dozwolone powiązanie 5158
- Zablokowane powiązanie 5159
Uwaga: Dozwolone połączenia nie zawsze przeprowadzają inspekcję identyfikatora skojarzonego filtru. Identyfikator FilterID dla protokołu TCP będzie mieć wartość 0, chyba że zostanie użyty podzbiór tych warunków filtrowania: UserID, AppID, Protocol, Remote Port.
Dostęp do obiektów
 Inne zdarzenia dostępu do obiektów
{0CCE9227-69AE-11D9-BED3-505054503030}
 Uwaga: Ta podkategoria umożliwia wiele inspekcji. Poniżej wymieniono szczegółowe inspekcje programu WFP.
Stan zapobiegania atakom typu "odmowa usługi":
- 5148 WFP DoS tryb zapobiegania rozpoczęty
- Zatrzymano tryb zapobiegania 5149 WFP DoS
Logowanie/wylogowywanie
{69979849-797A-11D9-BED3-505054503030}
 Tryb główny protokołu IPsec
{0CCE9218-69AE-11D9-BED3-505054503030}
 Negocjacje trybu głównego IKE i AuthIP:
  • 4650, 4651 Ustanowione skojarzenie zabezpieczeń
  • 4652, 4653 Negocjacji nie powiodło się
  • Zakończono skojarzenie zabezpieczeń 4655
Logowanie/wylogowywanie
 Tryb szybki protokołu IPsec
{0CCE9219-69AE-11D9-BED3-505054503030}
 Negocjacje trybu szybkiego IKE i AuthIP:
  • 5451 Ustanowione skojarzenie zabezpieczeń
  • 5452 Skojarzenie zabezpieczeń zakończyło się
  • 4654 Negocjowanie nie powiodło się
Logowanie/wylogowywanie
Tryb rozszerzony protokołu IPsec
{0CCE921A-69AE-11D9-BED3-505054503030}
 Negocjowanie trybu rozszerzonego AuthIP:
  • 4978 Nieprawidłowy pakiet negocjacji
  • 4979, 4980, 4981, 4982 Stowarzyszenie zabezpieczeń ustanowione
  • 4983, 4984 Negocjacji nie powiodło się
System
{69979848-797A-11D9-BED3-505054503030}
 Sterownik IPsec
{0CCE9213-69AE-11D9-BED3-505054503030}
 Pakiety porzucone przez sterownik IPsec:
  • 4963 Porzucony przychodzący pakiet zwykłego tekstu

Domyślnie inspekcja dla programu WFP jest wyłączona.

Inspekcję można włączyć dla poszczególnych kategorii za pomocą przystawki MMC edytora obiektów zasad grupy, przystawki MMC zasad zabezpieczeń lokalnych programu MMC lub polecenia auditpol.exe.

Aby na przykład włączyć inspekcję zdarzeń zmiany zasad, możesz:

  • Korzystanie z edytora obiektów zasad grupy

    1. Uruchom gpedit.msc.
    2. Rozwiń węzeł Zasady komputera lokalnego.
    3. Rozwiń węzeł Konfiguracja komputera.
    4. Rozwiń węzeł Ustawienia systemu Windows.
    5. Rozwiń węzeł Ustawienia zabezpieczeń.
    6. Rozwiń węzeł Zasady lokalne.
    7. Kliknij pozycję Zasady inspekcji.
    8. Kliknij dwukrotnie pozycję Przeprowadź inspekcję zmian zasad, aby uruchomić okno dialogowe Właściwości.
    9. Zaznacz pola wyboru Powodzenie i Niepowodzenie.

  • Korzystanie z lokalnych zasad zabezpieczeń

    1. Uruchom secpol.msc.
    2. Rozwiń węzeł Zasady lokalne.
    3. Kliknij pozycję Zasady inspekcji.
    4. Kliknij dwukrotnie pozycję Przeprowadź inspekcję zmian zasad, aby uruchomić okno dialogowe Właściwości.
    5. Zaznacz pola wyboru Powodzenie i Niepowodzenie.

  • Użyj polecenia auditpol.exe

    • auditpol /set /category:"Zmiana zasad" /success:enable /failure:enable

Inspekcję można włączyć na podstawie podkategorii tylko za pomocą polecenia auditpol.exe.

Nazwy kategorii i podkategorii inspekcji są zlokalizowane. Aby uniknąć lokalizacji skryptów inspekcji, odpowiednie identyfikatory GUID mogą być używane zamiast nazw.

Aby na przykład włączyć inspekcję zdarzeń zmiany zasad platformy filtrowania, można użyć jednego z następujących poleceń:

  • auditpol /set /subcategory:"Filtrowanie zmian zasad platformy" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol

dziennika zdarzeń

zasad grupy