Поделиться через


Аудита

Платформа фильтрации Windows (МПП) обеспечивает аудит событий брандмауэра и IPsec. Эти события хранятся в журнале безопасности системы.

Аудит событий выглядит следующим образом.

Категория аудита Аудит подкатегории Аудит событий
Изменение политики
{6997984D-797A-11D9-BED3-505054503030}
Изменение политики платформы фильтрации
{0CCE9233-69AE-11D9-BED3-505054503030}
Примечание. числа представляют идентификаторы событий, отображаемые средством просмотра событий (eventvwr.exe).
Добавление и удаление объектов ВПП:
— добавлена постоянная выноска 5440
— добавлен 5441 загрузочный или постоянный фильтр
— добавлен постоянный поставщик 5442
— добавлен контекст постоянного поставщика 5443
— добавлен подслойка 5444 постоянный
— выноска времени выполнения 5446 добавлена или удалена
— добавлен или удален фильтр времени выполнения 5447.
— поставщик времени выполнения 5448 добавлен или удален
— контекст поставщика времени выполнения 5449 добавлен или удален
— 5450 вложенный слой времени выполнения добавлен или удален
Доступ к объектам
{6997984A-797A-11D9-BED3-505054503030}
Фильтрация удаления пакетов платформы
{0CCE925-69AE-11D9-BED3-505054503030}
Пакеты, отброшенные МПП:
  • 5152 Пакет удален
  • 5153 Вето пакета
Доступ к объектам
Фильтрация подключения платформы
{0CCE9226-69AE-11D9-BED3-505054503030}
Разрешенные и заблокированные подключения:
— разрешено прослушивание 5154
- 5155 Прослушивание заблокировано
— разрешено подключение 5156
— заблокировано подключение 5157
— разрешенная привязка 5158
— блокировка привязки 5159
Примечание. разрешенные подключения не всегда проверяют идентификатор связанного фильтра. Параметр FilterID для TCP будет 0, если только не используется подмножество этих условий фильтрации: UserID, AppID, Protocol, Remote Port.
Доступ к объектам
Другие события доступа к объектам
{0CCE9227-69AE-11D9-BED3-505054503030}
Примечание. Эта подкатегория включает множество аудитов. Ниже перечислены конкретные аудиты ВПП.
Состояние предотвращения отказа в обслуживании:
- 5148 РЕЖИМ предотвращения DOS ВПП начал
- 5149 РЕЖИМ предотвращения DoS ВПП остановлен
Вход в систему и выход
{69979849-797A-11D9-BED3-505054503030}
Основной режим IPsec
{0CCE9218-69AE-11D9-BED3-505054503030}
Согласование основного режима IKE и AuthIP:
  • 4650, 4651 Ассоциация безопасности установлена
  • Сбой переговоров 4652, 4653
  • Прекращена связь безопасности 4655
Вход в систему и выход
Быстрый режим IPsec
{0CCE9219-69AE-11D9-BED3-505054503030}
Согласование быстрого режима IKE и AuthIP:
  • 5451 Ассоциация безопасности установлена
  • 5452 Ассоциация безопасности закончилась
  • Сбой согласования 4654
Вход в систему и выход
Расширенный режим IPsec
{0CCE921A-69AE-11D9-BED3-505054503030}
Согласование расширенного режима AuthIP:
  • 4978 Недопустимый пакет согласования
  • 4979, 4980, 4981, 4982 Ассоциация безопасности создана
  • Сбой переговоров 4983, 4984
Система
{69979848-797A-11D9-BED3-505054503030}
Драйвер IPsec
{0CCE9213-69AE-11D9-BED3-505054503030}
Пакеты, удаленные драйвером IPsec:
  • 4963 Удаленный входящий текстовый пакет

По умолчанию аудит для МПП отключен.

Аудит можно включить на основе каждой категории с помощью оснастки mmC редактора объектов групповой политики, оснастки mmC локальной политики безопасности или команды auditpol.exe.

Например, чтобы включить аудит событий изменения политики, можно:

  • Использование редактора объектов групповой политики

    1. Запустите gpedit.msc.
    2. Разверните политику локального компьютера.
    3. Разверните конфигурацию компьютера.
    4. Разверните параметры Windows.
    5. Разверните параметры безопасности.
    6. Разверните локальные политики.
    7. Щелкните "Политика аудита".
    8. Дважды щелкните изменение политики аудита, чтобы запустить диалоговое окно "Свойства".
    9. Установите флажки "Успех и сбой".
  • Использование локальной политики безопасности

    1. Запустите secpol.msc.
    2. Разверните локальные политики.
    3. Щелкните "Политика аудита".
    4. Дважды щелкните изменение политики аудита, чтобы запустить диалоговое окно "Свойства".
    5. Установите флажки "Успех и сбой".
  • Использование команды auditpol.exe

    • auditpol /set /category:"Policy Change" /success:enable /failure:enable

Аудит можно включить на основе подкатегории только с помощью команды auditpol.exe.

Категории аудита и имена подкатегорий локализованы. Чтобы избежать локализации сценариев аудита, соответствующие идентификаторы GUID могут использоваться вместо имен.

Например, чтобы включить аудит событий изменения политики фильтрации платформы, можно использовать одну из следующих команд:

  • auditpol /set /subcategory:"Фильтрация изменений политики платформы" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol

журнала событий

групповой политики