審計
Windows 篩選平臺 (WFP) 提供防火牆和 IPsec 相關事件的稽核。 這些事件會儲存在系統安全性記錄檔中。
稽核的事件如下所示。
稽核類別 | 稽核子類別 | 稽核的事件 |
---|---|---|
原則變更 {6997984D-797A-11D9-BED3-505054503030} |
篩選平台原則變更 {0CCE9233-69AE-11D9-BED3-505054503030} |
注意: 數位代表事件查看器所顯示的事件標識碼(eventvwr.exe)。 WFP 物件新增和移除: - 新增 5440 常設註標 - 新增 5441 開機時間或持續篩選 - 新增 5442 持續性提供者 - 新增 5443 持續性提供者內容 - 新增 5444 持續性子層 - 新增或移除 5446 運行時間圖說文字 - 新增或移除 5447 運行時間篩選 - 新增或移除 5448 運行時間提供者 - 新增或移除 5449 運行時間提供者內容 - 新增或移除 5450 運行時間子層 |
物件存取 {6997984A-797A-11D9-BED3-505054503030} |
篩選平臺封包置放 {0CCE9225-69AE-11D9-BED3-505054503030} |
糧食計劃署捨棄的封包:
|
物件存取 |
篩選平台連線 {0CCE9226-69AE-11D9-BED3-505054503030} |
允許和封鎖的連線: - 5154 已允許接聽 - 5155 已封鎖接聽 - 允許 5156 個連線 - 5157 已封鎖連線 - 5158 允許系結 - 5159 已封鎖系結 注意: 允許的連線不一定會稽核相關聯篩選的標識符。 除非使用這些篩選條件的子集,否則 TCP 的 FilterID 將會是 0:UserID、AppID、通訊協定、遠端埠。 |
物件存取 |
其他物件存取事件 {0CCE9227-69AE-11D9-BED3-505054503030} |
注意: 此子類別可啟用許多稽核。 糧食計劃署的具體稽核如下所列。 拒絕服務防護狀態: - 5148 糧食計劃署 DoS 預防模式已啟動 - 5149 糧食計劃署 DoS 預防模式已停止 |
登入/註銷 {69979849-797A-11D9-BED3-505054503030} |
IPsec 主要模式 {0CCE9218-69AE-11D9-BED3-505054503030} |
IKE 和 AuthIP 主要模式交涉:
|
登入/註銷 |
IPsec 快速模式 {0CCE9219-69AE-11D9-BED3-505054503030} |
IKE 和 AuthIP 快速模式交涉:
|
登入/註銷 |
IPsec 擴充模式 {0CCE921A-69AE-11D9-BED3-505054503030} |
AuthIP 擴充模式交涉:
|
系統 {69979848-797A-11D9-BED3-505054503030} |
IPsec 驅動程式 {0CCE9213-69AE-11D9-BED3-505054503030} |
IPsec 驅動程式捨棄的封包:
|
根據預設,已停用 WFP 的稽核。
您可以透過組策略物件編輯器 MMC 嵌入式管理單元、本機安全策略 MMC 嵌入式管理單元或 auditpol.exe 命令,依類別來啟用稽核。
例如,若要啟用原則變更事件的稽核,您可以:
使用組策略物件編輯器
- 執行 gpedit.msc。
- 展開 [本機計算機原則]。
- 展開 [計算機設定]。
- 展開 [Windows 設定]。
- 展開 [安全性設定]。
- 展開 [本機原則]。
- 按兩下 [審核策略]。
- 按兩下 [稽核原則變更] 以啟動 [屬性] 對話框。
- 核取 [成功] 和 [失敗] 複選框。
使用本機安全策略
- 執行 secpol.msc。
- 展開 [本機原則]。
- 按兩下 [審核策略]。
- 按兩下 [稽核原則變更] 以啟動 [屬性] 對話框。
- 核取 [成功] 和 [失敗] 複選框。
使用 auditpol.exe 命令
- auditpol /set /category:“Policy Change” /success:enable /failure:enable
稽核只能透過 auditpol.exe 命令,以個別子類別為基礎啟用。
稽核類別和子類別名稱會當地語系化。 為了避免稽核腳本的當地語系化,可以使用對應的 GUID 來取代名稱。
例如,若要啟用篩選平台原則變更事件的稽核,您可以使用下列其中一個命令:
- auditpol /set /subcategory:“篩選平台原則變更” /success:enable /failure:enable
- auditpol /set /subcategory:“{0CCE9233-69AE-11D9-BED3-505054503030}” /success:enable /failure:enable /failure:enable