Läs på engelska

Dela via

Granskning

  • Artikel

Windows Filtering Platform (WFP) tillhandahåller granskning av brandväggs- och IPsec-relaterade händelser. Dessa händelser lagras i systemsäkerhetsloggen.

De granskade händelserna är följande.

Granskningskategori Granskningsunderkategori Granskade händelser
Principändring
{6997984D-797A-11D9-BED3-505054503030}
 Ändring av filtreringsplattformsprincip
{0CCE9233-69AE-11D9-BED3-505054503030}
 Obs! Siffrorna representerar händelse-ID:t enligt loggboken (eventvwr.exe).
Tillägg och borttagning av WFP-objekt:
– 5440 Beständig pratbubblan har lagts till
– 5441 Starttid eller beständigt filter har lagts till
– 5442 Beständiga providern har lagts till
– 5443 Beständig providerkontext har lagts till
– 5444 Beständiga underlager har lagts till
– 5446 Pratbubblan för körning har lagts till eller tagits bort
– 5447 Körningsfilter har lagts till eller tagits bort
– 5448 Run-time-providern har lagts till eller tagits bort
– 5449 Körningsproviderkontext har lagts till eller tagits bort
– 5 450 Underlager för körning har lagts till eller tagits bort
Objektåtkomst
{6997984A-797A-11D9-BED3-505054503030}
 Filtrering av plattformspaket
{0CCE9225-69AE-11D9-BED3-505054503030}
 Paket som släppts av WFP:
  • 5152 Paket har släppts
  • 5153 Paket veto
Objektåtkomst
 Filtreringsplattformsanslutning
{0CCE9226-69AE-11D9-BED3-505054503030}
 Tillåtna och blockerade anslutningar:
- 5154 Lyssning tillåten
- 5155 Lyssning blockerad
- 5156 Anslutning tillåts
- 5157 Anslutning blockerad
- 5158 Bindning tillåts
- 5159 Bindning blockerad
Obs! Tillåtna anslutningar granskar inte alltid ID:t för det associerade filtret. FilterID för TCP är 0 om inte en delmängd av dessa filtreringsvillkor används: UserID, AppID, Protocol, Remote Port.
Objektåtkomst
 Andra objektåtkomsthändelser
{0CCE9227-69AE-11D9-BED3-505054503030}
 Obs! Den här underkategorin möjliggör många granskningar. WFP-specifika granskningar visas nedan.
Skyddsstatus för Denial of Service:
– 5148 WFP DoS-förebyggande läge har startats
- 5149 WFP DoS-förebyggande läge har stoppats
Inloggning/utloggning
{69979849-797A-11D9-BED3-505054503030}
 Huvudläge för IPsec
{0CCE9218-69AE-11D9-BED3-505054503030}
 IKE- och AuthIP Main Mode-förhandling:
  • 4650, 4651 Säkerhetsassociation upprättad
  • 4652, 4653 Förhandling misslyckades
  • 4655 Säkerhetsassociationen avslutades
Inloggning/utloggning
 Snabbläge för IPsec
{0CCE9219-69AE-11D9-BED3-505054503030}
 IKE- och AuthIP-snabblägesförhandling:
  • 5451 Säkerhetsassociation upprättad
  • 5452 Säkerhetsassociationen avslutades
  • 4654 Förhandlingen misslyckades
Inloggning/utloggning
Utökat IPsec-läge
{0CCE921A-69AE-11D9-BED3-505054503030}
 AuthIP Extended Mode-förhandling:
  • 4978 Ogiltigt förhandlingspaket
  • 4979, 4980, 4981, 4982 Säkerhetsassociation
  • 4983, 4984 Förhandling misslyckades
System
{69979848-797A-11D9-BED3-505054503030}
 IPsec-drivrutin
{0CCE9213-69AE-11D9-BED3-505054503030}
 Paket som släppts av IPsec-drivrutinen:
  • 4963 Inkommande klartextpaket har släppts

Som standard inaktiveras granskning för WFP.

Granskning kan aktiveras per kategori antingen via MMC-snapin-modulen för redigeraren för grupprincipobjekt, MMC-snapin-modulen för lokal säkerhetsprincip eller kommandot auditpol.exe.

Om du till exempel vill aktivera granskning av principändringshändelser kan du:

  • Använda redigeraren grupprincipobjekt

    1. Kör gpedit.msc.
    2. Expandera Principen för lokal dator.
    3. Expandera Datorkonfiguration.
    4. Expandera Windows-inställningar.
    5. Expandera Säkerhetsinställningar.
    6. Expandera Lokala principer.
    7. Klicka på Granskningsprincip.
    8. Dubbelklicka på Granska principändring för att starta dialogrutan Egenskaper.
    9. Markera kryssrutorna Lyckade och misslyckade.

  • Använd den lokala säkerhetsprincipen

    1. Kör secpol.msc.
    2. Expandera Lokala principer.
    3. Klicka på Granskningsprincip.
    4. Dubbelklicka på Granska principändring för att starta dialogrutan Egenskaper.
    5. Markera kryssrutorna Lyckade och misslyckade.

  • Använd kommandot auditpol.exe

    • auditpol /set /category:"Policy Change" /success:enable /failure:enable

Granskning kan endast aktiveras per underkategori via kommandot auditpol.exe.

Granskningskategorin och underkategorinamnen lokaliseras. För att undvika lokalisering för granskningsskript kan motsvarande GUID användas i stället för namnen.

Om du till exempel vill aktivera granskning av ändringshändelser för filtreringsplattformsprinciper kan du använda något av följande kommandon:

  • auditpol /set /subcategory:"Filtering Platform Policy Change" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol

händelselogg

grupprincip