共用方式為


審計

Windows 篩選平臺 (WFP) 提供防火牆和 IPsec 相關事件的稽核。 這些事件會儲存在系統安全性記錄檔中。

稽核的事件如下所示。

稽核類別 稽核子類別 稽核的事件
原則變更
{6997984D-797A-11D9-BED3-505054503030}
篩選平台原則變更
{0CCE9233-69AE-11D9-BED3-505054503030}
注意: 數位代表事件查看器所顯示的事件標識碼(eventvwr.exe)。
WFP 物件新增和移除:
- 新增 5440 常設註標
- 新增 5441 開機時間或持續篩選
- 新增 5442 持續性提供者
- 新增 5443 持續性提供者內容
- 新增 5444 持續性子層
- 新增或移除 5446 運行時間圖說文字
- 新增或移除 5447 運行時間篩選
- 新增或移除 5448 運行時間提供者
- 新增或移除 5449 運行時間提供者內容
- 新增或移除 5450 運行時間子層
物件存取
{6997984A-797A-11D9-BED3-505054503030}
篩選平臺封包置放
{0CCE9225-69AE-11D9-BED3-505054503030}
糧食計劃署捨棄的封包:
  • 5152 封包已捨棄
  • 5153 封包否決
物件存取
篩選平台連線
{0CCE9226-69AE-11D9-BED3-505054503030}
允許和封鎖的連線:
- 5154 已允許接聽
- 5155 已封鎖接聽
- 允許 5156 個連線
- 5157 已封鎖連線
- 5158 允許系結
- 5159 已封鎖系結
注意: 允許的連線不一定會稽核相關聯篩選的標識符。 除非使用這些篩選條件的子集,否則 TCP 的 FilterID 將會是 0:UserID、AppID、通訊協定、遠端埠。
物件存取
其他物件存取事件
{0CCE9227-69AE-11D9-BED3-505054503030}
注意: 此子類別可啟用許多稽核。 糧食計劃署的具體稽核如下所列。
拒絕服務防護狀態:
- 5148 糧食計劃署 DoS 預防模式已啟動
- 5149 糧食計劃署 DoS 預防模式已停止
登入/註銷
{69979849-797A-11D9-BED3-505054503030}
IPsec 主要模式
{0CCE9218-69AE-11D9-BED3-505054503030}
IKE 和 AuthIP 主要模式交涉:
  • 4650,4651 安全性關聯已建立
  • 4652,4653 交涉失敗
  • 4655 安全性關聯結束
登入/註銷
IPsec 快速模式
{0CCE9219-69AE-11D9-BED3-505054503030}
IKE 和 AuthIP 快速模式交涉:
  • 已建立 5451 安全性關聯
  • 5452 安全性關聯已結束
  • 4654 交涉失敗
登入/註銷
IPsec 擴充模式
{0CCE921A-69AE-11D9-BED3-505054503030}
AuthIP 擴充模式交涉:
  • 4978 無效交涉封包
  • 4979、4980、4981、4982 安全性協會成立
  • 4983,4984 交涉失敗
系統
{69979848-797A-11D9-BED3-505054503030}
IPsec 驅動程式
{0CCE9213-69AE-11D9-BED3-505054503030}
IPsec 驅動程式捨棄的封包:
  • 4963 已捨棄輸入純文本封包

根據預設,已停用 WFP 的稽核。

您可以透過組策略物件編輯器 MMC 嵌入式管理單元、本機安全策略 MMC 嵌入式管理單元或 auditpol.exe 命令,依類別來啟用稽核。

例如,若要啟用原則變更事件的稽核,您可以:

  • 使用組策略物件編輯器

    1. 執行 gpedit.msc
    2. 展開 [本機計算機原則]。
    3. 展開 [計算機設定]。
    4. 展開 [Windows 設定]。
    5. 展開 [安全性設定]。
    6. 展開 [本機原則]。
    7. 按兩下 [審核策略]。
    8. 按兩下 [稽核原則變更] 以啟動 [屬性] 對話框。
    9. 核取 [成功] 和 [失敗] 複選框。
  • 使用本機安全策略

    1. 執行 secpol.msc
    2. 展開 [本機原則]。
    3. 按兩下 [審核策略]。
    4. 按兩下 [稽核原則變更] 以啟動 [屬性] 對話框。
    5. 核取 [成功] 和 [失敗] 複選框。
  • 使用 auditpol.exe 命令

    • auditpol /set /category:“Policy Change” /success:enable /failure:enable

稽核只能透過 auditpol.exe 命令,以個別子類別為基礎啟用。

稽核類別和子類別名稱會當地語系化。 為了避免稽核腳本的當地語系化,可以使用對應的 GUID 來取代名稱。

例如,若要啟用篩選平台原則變更事件的稽核,您可以使用下列其中一個命令:

  • auditpol /set /subcategory:“篩選平台原則變更” /success:enable /failure:enable
  • auditpol /set /subcategory:“{0CCE9233-69AE-11D9-BED3-505054503030}” /success:enable /failure:enable /failure:enable

Auditpol

事件記錄檔

組策略