通过

审计

  • 项目

Windows 筛选平台(WFP)提供防火墙和 IPsec 相关事件的审核。 这些事件存储在系统安全日志中。

审核的事件如下所示。

审核类别 审核子类别 审核的事件
策略更改
{6997984D-797A-11D9-BED3-505054503030}
 筛选平台策略更改
{0CCE9233-69AE-11D9-BED3-505054503030}
 注意: 数字表示事件查看器显示的事件 ID(eventvwr.exe)。
WFP 对象添加和删除:
- 添加了 5440 持久标注
- 添加了 5441 启动时间或持久性筛选器
- 添加了 5442 持久提供程序
- 添加了 5443 持久提供程序上下文
- 添加了 5444 持久子层
- 5446 添加或删除运行时标注
- 添加或删除了 5447 运行时筛选器
- 5448 添加或删除运行时提供程序
- 5449 添加或删除运行时提供程序上下文
- 5450 添加或删除运行时子层
对象访问
{6997984A-797A-11D9-BED3-505054503030}
 筛选平台数据包删除
{0CCE9225-69AE-11D9-BED3-505054503030}
 粮食计划署丢弃的数据包:
  • 5152 数据包已删除
  • 5153 数据包否决
对象访问
 筛选平台连接
{0CCE9226-69AE-11D9-BED3-505054503030}
 允许和阻止的连接:
- 5154 允许侦听
- 5155 侦听被阻止
- 允许 5156 连接
- 5157 连接被阻止
- 5158 允许绑定
- 5159 已阻止绑定
注意: 允许的连接并不总是审核关联筛选器的 ID。 除非使用这些筛选条件的子集,否则 TCP 的 FilterID 将为 0:UserID、AppID、Protocol、Remote Port。
对象访问
 其他对象访问事件
{0CCE9227-69AE-11D9-BED3-505054503030}
 注意: 此子类别启用许多审核。 下面列出了粮食计划署的具体审计。
拒绝服务防护状态:
- 5148 粮食计划署 DoS 预防模式已启动
- 5149 粮食计划署 DoS 预防模式已停止
登录/注销
{69979849-797A-11D9-BED3-505054503030}
 IPsec 主模式
{0CCE9218-69AE-11D9-BED3-505054503030}
 IKE 和 AuthIP 主模式协商:
  • 4650,4651 安全关联已建立
  • 4652, 4653 协商失败
  • 4655 安全关联已结束
登录/注销
 IPsec 快速模式
{0CCE9219-69AE-11D9-BED3-505054503030}
 IKE 和 AuthIP 快速模式协商:
  • 5451 安全关联已建立
  • 5452 安全关联已结束
  • 4654 协商失败
登录/注销
 IPsec 扩展模式
{0CCE921A-69AE-11D9-BED3-505054503030}
 AuthIP 扩展模式协商:
  • 4978 协商数据包无效
  • 4979、4980、4981、4982 安全协会成立
  • 4983, 4984 协商失败
系统
{69979848-797A-11D9-BED3-505054503030}
 IPsec 驱动程序
{0CCE9213-69AE-11D9-BED3-505054503030}
 IPsec 驱动程序丢弃的数据包:
  • 4963 已丢弃入站明文数据包

默认情况下,已禁用对 WFP 的审核。

可以通过组策略对象编辑器 MMC 管理单元、本地安全策略 MMC 管理单元或 auditpol.exe 命令按类别启用审核。

例如,若要启用策略更改事件的审核,可以:

  • 使用组策略对象编辑器

    1. 运行 gpedit.msc
    2. 展开本地计算机策略。
    3. 展开计算机配置。
    4. 展开 Windows 设置。
    5. 展开“安全设置”。
    6. 展开本地策略。
    7. 单击“审核策略”。
    8. 双击“审核策略更改”以启动“属性”对话框。
    9. 选中“成功”和“失败”复选框。

  • 使用本地安全策略

    1. 运行 secpol.msc
    2. 展开本地策略。
    3. 单击“审核策略”。
    4. 双击“审核策略更改”以启动“属性”对话框。
    5. 选中“成功”和“失败”复选框。

  • 使用 auditpol.exe 命令

    • auditpol /set /category:“Policy Change” /success:enable /failure:enable

只能通过 auditpol.exe 命令按子类别启用审核。

审核类别和子类别名称已本地化。 为了避免本地化审核脚本,可以使用相应的 GUID 代替名称。

例如,若要启用筛选平台策略更改事件的审核,可以使用以下命令之一:

  • auditpol /set /subcategory:“筛选平台策略更改”/success:enable /failure:enable
  • auditpol /set /subcategory:“{0CCE9233-69AE-11D9-BED3-505054503030}” /success:enable /failure:enable

Auditpol

事件日志

组策略