Поделиться через

Аудит

  • Статья

Платформа фильтрации Windows (WFP) обеспечивает аудит событий брандмауэра и IPsec. Эти события хранятся в системном журнале безопасности.

Ниже приведены события аудита.

Категория аудита Подкатегория аудита События аудита
Изменение политик
{6997984D-797A-11D9-BED3-505054503030}
 Изменение политики платформы фильтрации
{0CCE9233-69AE-11D9-BED3-505054503030}
 Примечание: Числа представляют идентификаторы событий, отображаемые Просмотр событий (eventvwr.exe).
Добавление и удаление объекта ВПП:
- Добавлена постоянная выноска 5440
- Добавлен фильтр времени загрузки или постоянный фильтр 5441
— Добавлен постоянный поставщик 5442
- Добавлен контекст постоянного поставщика 5443
- Добавлен 5444 Постоянный подслой
- Добавлена или удалена выноска времени выполнения 5446
- Добавлен или удален фильтр времени выполнения 5447
— Добавлен или удален поставщик времени выполнения 5448
- Добавлен или удален контекст поставщика времени выполнения 5449
- Добавлен или удален вложенный слой во время выполнения 5450
Доступ к объектам
{6997984A-797A-11D9-BED3-505054503030}
 Фильтрация удаления пакетов платформы
{0CCE9225-69AE-11D9-BED3-505054503030}
 Пакеты, отброшенные ВПП:
  • 5152 Пакет удален
  • 5153 Пакет наложен вето
Доступ к объектам
 Фильтрация подключения к платформе
{0CCE9226-69AE-11D9-BED3-505054503030}
 Разрешенные и заблокированные подключения:
- 5154 Прослушивание разрешено
- 5155 Прослушивание заблокировано
- 5156 Разрешено подключение
- 5157 Подключение заблокировано
- 5158 Разрешена привязка
- 5159 Привязка заблокирована
Примечание: Разрешенные подключения не всегда проверяют идентификатор связанного фильтра. Значение FilterID для TCP будет иметь значение 0, если не используется подмножество этих условий фильтрации: UserID, AppID, Protocol, Remote Port.
Доступ к объектам
 Другие события доступа к объектам
{0CCE9227-69AE-11D9-BED3-505054503030}
 Примечание: Эта подкатегория позволяет выполнять множество аудитов. Ниже перечислены конкретные проверки МПП.
Состояние предотвращения отказа в обслуживании:
- 5148 ВПП Запущен режим предотвращения DoS
- 5149 ВПП Режим предотвращения DoS остановлен
Вход/выход
{69979849-797A-11D9-BED3-505054503030}
 Основной режим IPsec
{0CCE9218-69AE-11D9-BED3-505054503030}
 Согласование основного режима IKE и AuthIP:
  • 4650, 4651 Создана ассоциация безопасности
  • 4652, 4653 Сбой согласования
  • 4655 Связь безопасности завершена
Вход/выход
 Быстрый режим IPsec
{0CCE9219-69AE-11D9-BED3-505054503030}
 Согласование быстрого режима IKE и AuthIP.
  • 5451. Создана ассоциация безопасности
  • 5452 Связь безопасности завершена
  • 4654 Сбой согласования
Вход/выход
 Расширенный режим IPsec
{0CCE921A-69AE-11D9-BED3-505054503030}
 Согласование расширенного режима AuthIP:
  • 4978 Недопустимый пакет согласования
  • 4979, 4980, 4981, 4982 Создана ассоциация безопасности
  • 4983, 4984 Сбой согласования
Система
{69979848-797A-11D9-BED3-505054503030}
 Драйвер IPsec
{0CCE9213-69AE-11D9-BED3-505054503030}
 Пакеты, отброшенные драйвером IPsec:
  • 4963. Входящий пакет чистого текста удален

По умолчанию аудит для МПП отключен.

Аудит можно включить для каждой категории с помощью оснастки MMC редактора объектов групповая политика, оснастки MMC "Локальная политика безопасности" или команды auditpol.exe.

Например, чтобы включить аудит событий изменения политики, можно:

  • Использование редактора объектов групповая политика

    1. Запустите gpedit.msc.
    2. Разверните раздел Политика локального компьютера.
    3. Разверните узел Конфигурация компьютера.
    4. Разверните узел Параметры Windows.
    5. Разверните узел Параметры безопасности.
    6. Разверните узел Локальные политики.
    7. Щелкните Политика аудита.
    8. Дважды щелкните Аудит изменения политики, чтобы открыть диалоговое окно Свойства.
    9. Установите флажки Успешное и Неудачное проверка.

  • Использование локальной политики безопасности

    1. Запустите secpol.msc.
    2. Разверните узел Локальные политики.
    3. Щелкните Политика аудита.
    4. Дважды щелкните Аудит изменения политики, чтобы открыть диалоговое окно Свойства.
    5. Установите флажки Успешное и Неудачное проверка.

  • Использование команды auditpol.exe

    • auditpol /set /category:"Policy Change" /success:enable /failure:enable

Аудит можно включить для каждой подкатегории только с помощью команды auditpol.exe.

Имена категорий и подкатегорий аудита локализованы. Чтобы избежать локализации скриптов аудита, вместо имен можно использовать соответствующие guid.

Например, чтобы включить аудит событий изменения политики платформы фильтрации, можно использовать одну из следующих команд:

  • auditpol /set /subcategory:"Изменение политики платформы фильтрации" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol

Журнал событий

Групповая политика