Аудита
Платформа фильтрации Windows (МПП) обеспечивает аудит событий брандмауэра и IPsec. Эти события хранятся в журнале безопасности системы.
Аудит событий выглядит следующим образом.
Категория аудита | Аудит подкатегории | Аудит событий |
---|---|---|
Изменение политики {6997984D-797A-11D9-BED3-505054503030} |
Изменение политики платформы фильтрации {0CCE9233-69AE-11D9-BED3-505054503030} |
Примечание. числа представляют идентификаторы событий, отображаемые средством просмотра событий (eventvwr.exe). Добавление и удаление объектов ВПП: — добавлена постоянная выноска 5440 — добавлен 5441 загрузочный или постоянный фильтр — добавлен постоянный поставщик 5442 — добавлен контекст постоянного поставщика 5443 — добавлен подслойка 5444 постоянный — выноска времени выполнения 5446 добавлена или удалена — добавлен или удален фильтр времени выполнения 5447. — поставщик времени выполнения 5448 добавлен или удален — контекст поставщика времени выполнения 5449 добавлен или удален — 5450 вложенный слой времени выполнения добавлен или удален |
Доступ к объектам {6997984A-797A-11D9-BED3-505054503030} |
Фильтрация удаления пакетов платформы {0CCE925-69AE-11D9-BED3-505054503030} |
Пакеты, отброшенные МПП:
|
Доступ к объектам |
Фильтрация подключения платформы {0CCE9226-69AE-11D9-BED3-505054503030} |
Разрешенные и заблокированные подключения: — разрешено прослушивание 5154 - 5155 Прослушивание заблокировано — разрешено подключение 5156 — заблокировано подключение 5157 — разрешенная привязка 5158 — блокировка привязки 5159 Примечание. разрешенные подключения не всегда проверяют идентификатор связанного фильтра. Параметр FilterID для TCP будет 0, если только не используется подмножество этих условий фильтрации: UserID, AppID, Protocol, Remote Port. |
Доступ к объектам |
Другие события доступа к объектам {0CCE9227-69AE-11D9-BED3-505054503030} |
Примечание. Эта подкатегория включает множество аудитов. Ниже перечислены конкретные аудиты ВПП. Состояние предотвращения отказа в обслуживании: - 5148 РЕЖИМ предотвращения DOS ВПП начал - 5149 РЕЖИМ предотвращения DoS ВПП остановлен |
Вход в систему и выход {69979849-797A-11D9-BED3-505054503030} |
Основной режим IPsec {0CCE9218-69AE-11D9-BED3-505054503030} |
Согласование основного режима IKE и AuthIP:
|
Вход в систему и выход |
Быстрый режим IPsec {0CCE9219-69AE-11D9-BED3-505054503030} |
Согласование быстрого режима IKE и AuthIP:
|
Вход в систему и выход |
Расширенный режим IPsec {0CCE921A-69AE-11D9-BED3-505054503030} |
Согласование расширенного режима AuthIP:
|
Система {69979848-797A-11D9-BED3-505054503030} |
Драйвер IPsec {0CCE9213-69AE-11D9-BED3-505054503030} |
Пакеты, удаленные драйвером IPsec:
|
По умолчанию аудит для МПП отключен.
Аудит можно включить на основе каждой категории с помощью оснастки mmC редактора объектов групповой политики, оснастки mmC локальной политики безопасности или команды auditpol.exe.
Например, чтобы включить аудит событий изменения политики, можно:
Использование редактора объектов групповой политики
- Запустите gpedit.msc.
- Разверните политику локального компьютера.
- Разверните конфигурацию компьютера.
- Разверните параметры Windows.
- Разверните параметры безопасности.
- Разверните локальные политики.
- Щелкните "Политика аудита".
- Дважды щелкните изменение политики аудита, чтобы запустить диалоговое окно "Свойства".
- Установите флажки "Успех и сбой".
Использование локальной политики безопасности
- Запустите secpol.msc.
- Разверните локальные политики.
- Щелкните "Политика аудита".
- Дважды щелкните изменение политики аудита, чтобы запустить диалоговое окно "Свойства".
- Установите флажки "Успех и сбой".
Использование команды auditpol.exe
- auditpol /set /category:"Policy Change" /success:enable /failure:enable
Аудит можно включить на основе подкатегории только с помощью команды auditpol.exe.
Категории аудита и имена подкатегорий локализованы. Чтобы избежать локализации сценариев аудита, соответствующие идентификаторы GUID могут использоваться вместо имен.
Например, чтобы включить аудит событий изменения политики фильтрации платформы, можно использовать одну из следующих команд:
- auditpol /set /subcategory:"Фильтрация изменений политики платформы" /success:enable /failure:enable
- auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable