审计
Windows 筛选平台(WFP)提供防火墙和 IPsec 相关事件的审核。 这些事件存储在系统安全日志中。
审核的事件如下所示。
审核类别 | 审核子类别 | 审核的事件 |
---|---|---|
策略更改 {6997984D-797A-11D9-BED3-505054503030} |
筛选平台策略更改 {0CCE9233-69AE-11D9-BED3-505054503030} |
注意: 数字表示事件查看器显示的事件 ID(eventvwr.exe)。 WFP 对象添加和删除: - 添加了 5440 持久标注 - 添加了 5441 启动时间或持久性筛选器 - 添加了 5442 持久提供程序 - 添加了 5443 持久提供程序上下文 - 添加了 5444 持久子层 - 5446 添加或删除运行时标注 - 添加或删除了 5447 运行时筛选器 - 5448 添加或删除运行时提供程序 - 5449 添加或删除运行时提供程序上下文 - 5450 添加或删除运行时子层 |
对象访问 {6997984A-797A-11D9-BED3-505054503030} |
筛选平台数据包删除 {0CCE9225-69AE-11D9-BED3-505054503030} |
粮食计划署丢弃的数据包:
|
对象访问 |
筛选平台连接 {0CCE9226-69AE-11D9-BED3-505054503030} |
允许和阻止的连接: - 5154 允许侦听 - 5155 侦听被阻止 - 允许 5156 连接 - 5157 连接被阻止 - 5158 允许绑定 - 5159 已阻止绑定 注意: 允许的连接并不总是审核关联筛选器的 ID。 除非使用这些筛选条件的子集,否则 TCP 的 FilterID 将为 0:UserID、AppID、Protocol、Remote Port。 |
对象访问 |
其他对象访问事件 {0CCE9227-69AE-11D9-BED3-505054503030} |
注意: 此子类别启用许多审核。 下面列出了粮食计划署的具体审计。 拒绝服务防护状态: - 5148 粮食计划署 DoS 预防模式已启动 - 5149 粮食计划署 DoS 预防模式已停止 |
登录/注销 {69979849-797A-11D9-BED3-505054503030} |
IPsec 主模式 {0CCE9218-69AE-11D9-BED3-505054503030} |
IKE 和 AuthIP 主模式协商:
|
登录/注销 |
IPsec 快速模式 {0CCE9219-69AE-11D9-BED3-505054503030} |
IKE 和 AuthIP 快速模式协商:
|
登录/注销 |
IPsec 扩展模式 {0CCE921A-69AE-11D9-BED3-505054503030} |
AuthIP 扩展模式协商:
|
系统 {69979848-797A-11D9-BED3-505054503030} |
IPsec 驱动程序 {0CCE9213-69AE-11D9-BED3-505054503030} |
IPsec 驱动程序丢弃的数据包:
|
默认情况下,已禁用对 WFP 的审核。
可以通过组策略对象编辑器 MMC 管理单元、本地安全策略 MMC 管理单元或 auditpol.exe 命令按类别启用审核。
例如,若要启用策略更改事件的审核,可以:
使用组策略对象编辑器
- 运行 gpedit.msc。
- 展开本地计算机策略。
- 展开计算机配置。
- 展开 Windows 设置。
- 展开“安全设置”。
- 展开本地策略。
- 单击“审核策略”。
- 双击“审核策略更改”以启动“属性”对话框。
- 选中“成功”和“失败”复选框。
使用本地安全策略
- 运行 secpol.msc。
- 展开本地策略。
- 单击“审核策略”。
- 双击“审核策略更改”以启动“属性”对话框。
- 选中“成功”和“失败”复选框。
使用 auditpol.exe 命令
- auditpol /set /category:“Policy Change” /success:enable /failure:enable
只能通过 auditpol.exe 命令按子类别启用审核。
审核类别和子类别名称已本地化。 为了避免本地化审核脚本,可以使用相应的 GUID 代替名称。
例如,若要启用筛选平台策略更改事件的审核,可以使用以下命令之一:
- auditpol /set /subcategory:“筛选平台策略更改”/success:enable /failure:enable
- auditpol /set /subcategory:“{0CCE9233-69AE-11D9-BED3-505054503030}” /success:enable /failure:enable