- regedit
- среда, 25 мая 2016 г.
- Отключение сообщения в журнале Windows — Безопасность: «Платформа фильтрации IP-пакетов Windows разрешила подключение»
- Отключение сообщения в журнале Windows — Безопасность: «Платформа фильтрации IP-пакетов Windows разрешила подключение».
- Аудит подключения платформы фильтрации Audit Filtering Platform Connection
- 5158(S): Платформа фильтрации Windows разрешила привязку к локальному порту. 5158(S): The Windows Filtering Platform has permitted a bind to a local port.
- Рекомендации по контролю безопасности Security Monitoring Recommendations
regedit
single,brand new,hq,jazmine sullivan official,album,R\u0026B,jazmine,sullivan,bust,your,windows,live,10 seconds,remix,download,official video,lyrics,lions tigers \u0026 bears,holding you down,cover,bust your windows,Sony,let it burn,acoustic,J Records,official,playlist,trey songz
среда, 25 мая 2016 г.
Отключение сообщения в журнале Windows — Безопасность: «Платформа фильтрации IP-пакетов Windows разрешила подключение»
Отключение сообщения в журнале Windows — Безопасность: «Платформа фильтрации IP-пакетов Windows разрешила подключение».
«
При включении Аудита доступа к объектам Успех и Отказ, в журнале Windows — Безопасность попадает и аудит доступа из платформы фильтрации IP-пакетов.
Пример сообщения:
Платформа фильтрации IP-пакетов Windows разрешила подключение.
Сведения о приложении:
Идентификатор процесса: 280
Имя приложения: \device\harddiskvolume1\windows\system32\dns.exe
Сведения о сети:
Направление: Входящие
Адрес источника: 192.168.0.0
Порт источника: 53
Адрес назначения: 192.168.0.0
Порт назначения: 50294
Протокол: 17
Сведения о фильтре:
Идентификатор выполнения фильтра: 0
Имя уровня: Получить/Принять
Идентификатор выполнения уровня: 44
Для отключения успешного аудита необходимо выполнить следующую команду на локальном компьютере
auditpol /set /subcategory:»»<0cce9226-69ae-11d9-bed3-505054503030>«» /success:disable /failure:enable
после успешного выполнения проверяем результаты:
auditpol /get /subcategory:<0cce9226-69ae-11d9-bed3-505054503030>
Политика аудита системы
Категория или подкатегория Параметр
Доступ к объектам
Подключение платформы фильтрации Отказ
Аудит подключения платформы фильтрации Audit Filtering Platform Connection
Относится к: Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Подключение платформы фильтрации аудита определяет, генерирует ли операционная система события аудита, если подключение разрешено или заблокировано платформой фильтрации Windows. Audit Filtering Platform Connection determines whether the operating system generates audit events when connections are allowed or blocked by the Windows Filtering Platform.
Платформа фильтрации Windows (WFP) позволяет независимым поставщикам программного обеспечения (ISVs) фильтровать и изменять пакеты TCP/IP, отслеживать или авторизовать подключения, фильтровать трафик, защищенный протоколом Интернета (IPsec) и фильтровать удаленные вызовы процедур (RPCs). Windows Filtering Platform (WFP) enables independent software vendors (ISVs) to filter and modify TCP/IP packets, monitor or authorize connections, filter Internet Protocol security (IPsec)-protected traffic, and filter remote procedure calls (RPCs).
В этом подкатегории содержатся события платформы фильтрации Windows о заблокированных и разрешенных подключениях, заблокированных и разрешенных привязках портов, заблокированных и разрешенных действиях прослушивания порта и заблокированных для приемов входящих подключений. This subcategory contains Windows Filtering Platform events about blocked and allowed connections, blocked and allowed port bindings, blocked and allowed port listening actions, and blocked to accept incoming connections applications.
Объем событий: High. Event volume: High.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более сильный успех Stronger Success | Более сильный сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Нет No | Да Yes | IF IF | Да Yes | Аудит успешности для этой подкатегории обычно создает очень большой объем событий, например одно событие для каждого подключения к системе. Success auditing for this subcategory typically generates a very high volume of events, for example, one event for every connection that was made to the system. Гораздо важнее аудит событий сбоя (например, заблокированных подключений). It is much more important to audit Failure events (blocked connections, for example). Рекомендации по использованию и анализу собранной информации см. в разделах Рекомендации по мониторингу безопасности. For recommendations for using and analyzing the collected information, see the Security Monitoring Recommendations sections. IF . Включить аудит успешности в случае необходимости отслеживать успешные исходящие или входящие подключения к неоправданым IP-адресам на компьютерах или устройствах с высоким значением. IF — Enable Success audit in case you need to monitor successful outbound or inbound connections to and from untrusted IP addresses on high value computers or devices. |
| Сервер участника Member Server | Нет No | Да Yes | IF IF | Да Yes | Аудит успешности для этой подкатегории обычно создает очень большой объем событий, например одно событие для каждого подключения к системе. Success auditing for this subcategory typically generates a very high volume of events, for example, one event for every connection that was made to the system. Гораздо важнее аудит событий сбоя (например, заблокированных подключений). It is much more important to audit Failure events (blocked connections, for example). Рекомендации по использованию и анализу собранной информации см. в разделах Рекомендации по мониторингу безопасности. For recommendations for using and analyzing the collected information, see the Security Monitoring Recommendations sections. IF . Включить аудит успешности в случае необходимости отслеживать успешные исходящие или входящие подключения к неоправданым IP-адресам на компьютерах или устройствах с высоким значением. IF — Enable Success audit in case you need to monitor successful outbound or inbound connections to and from untrusted IP addresses on high value computers or devices. |
| Workstation Workstation | Нет No | Да Yes | IF IF | Да Yes | Аудит успешности для этой подкатегории обычно создает очень большой объем событий, например одно событие для каждого подключения к системе. Success auditing for this subcategory typically generates a very high volume of events, for example, one event for every connection that was made to the system. Гораздо важнее аудит событий сбоя (например, заблокированных подключений). It is much more important to audit Failure events (blocked connections, for example). Рекомендации по использованию и анализу собранной информации см. в разделах Рекомендации по мониторингу безопасности. For recommendations for using and analyzing the collected information, see the Security Monitoring Recommendations sections. IF . Включить аудит успешности в случае необходимости отслеживать успешные исходящие или входящие подключения к неоправданым IP-адресам на компьютерах или устройствах с высоким значением. IF — Enable Success audit in case you need to monitor successful outbound or inbound connections to and from untrusted IP addresses on high value computers or devices. |
Список событий: Events List:
5031(F). Служба брандмауэра Windows заблокировала прием входящих подключений в сети. 5031(F): The Windows Firewall Service blocked an application from accepting incoming connections on the network.
5150(-): Платформа фильтрации Windows заблокировала пакет. 5150(-): The Windows Filtering Platform blocked a packet.
5151(-): Более строгий фильтр платформы фильтрации Windows заблокировал пакет. 5151(-): A more restrictive Windows Filtering Platform filter has blocked a packet.
5154(S). Платформа фильтрации Windows разрешила приложению или службе прослушивать в порту для входящих подключений. 5154(S): The Windows Filtering Platform has permitted an application or service to listen on a port for incoming connections.
5155(F): Платформа фильтрации Windows заблокировала прослушивание приложения или службы в порту для входящих подключений. 5155(F): The Windows Filtering Platform has blocked an application or service from listening on a port for incoming connections.
5156(S): Платформа фильтрации Windows разрешила подключение. 5156(S): The Windows Filtering Platform has permitted a connection.
5157(F): Платформа фильтрации Windows заблокировала подключение. 5157(F): The Windows Filtering Platform has blocked a connection.
5158(S). Платформа фильтрации Windows разрешила привязку к локальному порту. 5158(S): The Windows Filtering Platform has permitted a bind to a local port.
5159(F): Платформа фильтрации Windows заблокировала привязку к локальному порту. 5159(F): The Windows Filtering Platform has blocked a bind to a local port.
5158(S): Платформа фильтрации Windows разрешила привязку к локальному порту. 5158(S): The Windows Filtering Platform has permitted a bind to a local port.
Относится к: Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Описание события: Event Description:
Это событие создает каждый раз, когда платформа фильтрации Windows разрешает приложению или службе связываться с локальным портом. This event generates every time Windows Filtering Platform permits an application or service to bind to a local port.
Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события. Note For recommendations, see Security Monitoring Recommendations for this event.
XML события: Event XML:
Необходимые роли сервера: нет. Required Server Roles: None.
Минимальная версия ОС: Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.
Версии события: 0. Event Versions: 0.
Описания полей: Field Descriptions:
Сведения о приложениях: Application Information:
Process ID [Type = Pointer]: hexadecimal Process ID процесса, который был разрешен привязать к локальному порту. Process ID [Type = Pointer]: hexadecimal Process ID of the process that was permitted to bind to the local port. ИД процесса (PID)— это число, которое операционная система использует для идентификации активного процесса уникальным образом. Process ID (PID) is a number used by the operating system to uniquely identify an active process. Узнать значение PID для определенного процесса можно, например, в диспетчере задач (вкладка «Подробности», столбец «ИД процесса»): To see the PID for a specific process you can, for example, use Task Manager (Details tab, PID column):
Если преобразовать шестнадцатеричное значение в десятичное, можно сравнить его со значениями в диспетчере задач. If you convert the hexadecimal value to decimal, you can compare it to the values in Task Manager.
Кроме того, можно сопоставить этот ИД процесса с ИД процесса в других событиях, например в событии «4688: создан процесс» Информация о процессе\ ИД нового процесса. You can also correlate this process ID with a process ID in other events, for example, “4688: A new process has been created” Process Information\New Process ID.
Имя приложения [Type = UnicodeString]: полный путь и имя исполняемого для процесса. Application Name [Type = UnicodeString]: full path and the name of the executable for the process.
Логический диск отображается в формате \device\harddiskvolume#. Logical disk is displayed in format \device\harddiskvolume#. Вы можете получить все локальные номера тома с помощью утилиты diskpart. You can get all local volume numbers by using diskpart utility. Командой для получения номеров тома с помощью diskpart является «том списка»: The command to get volume numbers using diskpart is “list volume”:
Сведения о сети: Network Information:
Исходный адрес [Type = UnicodeString]: локальный IP-адрес, на котором приложение было привязывать порт. Source Address [Type = UnicodeString]: local IP address on which application was bind the port.
Адрес IPv4 IPv4 Address
Адрес IPv6 IPv6 Address
:: — все IP-адреса в формате IPv6 :: — all IP addresses in IPv6 format
0.0.0.0 — все IP-адреса в формате IPv4 0.0.0.0 — all IP addresses in IPv4 format
127.0.0.1 , ::1 — localhost 127.0.0.1 , ::1 — localhost
Исходный порт [Type = UnicodeString]: номер порта, какое приложение было привязкой. Source Port [Type = UnicodeString]: port number which application was bind.
Протокол [Type = UInt32]: номер используемого протокола. Protocol [Type = UInt32]: number of the protocol that was used.
| Обслуживание Service | Номер протокола Protocol Number |
|---|---|
| Протокол сообщений управления Интернетом (ICMP) Internet Control Message Protocol (ICMP) | 1 1 |
| Протокол управления передачей (TCP) Transmission Control Protocol (TCP) | 6 6 |
| Протокол пользовательской datagram (UDP) User Datagram Protocol (UDP) | 17 17 |
| Общая инкапсуляция маршрутизации (данные PPTP по GRE) General Routing Encapsulation (PPTP data over GRE) | 47 47 |
| Загонщик проверки подлинности (AH) IPSec Authentication Header (AH) IPSec | 51 51 |
| IpSec безопасности инкапсуляции (ESP) Encapsulation Security Payload (ESP) IPSec | 50 50 |
| Протокол внешних шлюзов (EGP) Exterior Gateway Protocol (EGP) | 8 8 |
| Gateway-Gateway (GGP) Gateway-Gateway Protocol (GGP) | 3 3 |
| Протокол мониторинга хостов (HMP) Host Monitoring Protocol (HMP) | 20 20 |
| Протокол управления интернет-группой (IGMP) Internet Group Management Protocol (IGMP) | 88 88 |
| Удаленный виртуальный диск MIT (RVD) MIT Remote Virtual Disk (RVD) | 66 66 |
| OSPF Откройте кратчайший путь сначала OSPF Open Shortest Path First | 89 89 |
| Универсальный пакетный протокол PARC (PUP) PARC Universal Packet Protocol (PUP) | 12 12 |
| Надежный протокол datagram (RDP) Reliable Datagram Protocol (RDP) | 27 27 |
| Протокол бронирования (RSVP) QoS Reservation Protocol (RSVP) QoS | 46 46 |
Сведения о фильтре: Filter Information:
Фильтр Run-Time [Type = UInt64]: уникальный фильтр, позволяющий приложению связывать порт. Filter Run-Time ID [Type = UInt64]: unique filter ID that allows the application to bind the port. Брандмауэр Windows по умолчанию не запретит порту быть связанным приложением. By default, Windows firewall won’t prevent a port from being bound by an application. Если это приложение не соответствует фильтрам, вы получите значение 0 в этом поле. If this application doesn’t match any filters, you will get value 0 in this field.
Чтобы найти определенный фильтр платформы фильтрации Windows по ID, запустите следующую команду: netsh wfp show filters. To find a specific Windows Filtering Platform filter by ID, run the following command: netsh wfp show filters. В результате этой команды будет filters.xml файл. As a result of this command, the filters.xml file will be generated. Откройте этот файл и найдите определенное подстройку с требуемой фильтрацией** ****например:** Open this file and find specific substring with required filter ID ( ), for example:
Имя слоя [Тип = UnicodeString]: имя слоя принудения уровня приложений. Layer Name [Type = UnicodeString]: Application Layer Enforcement layer name.
Идентификатор Run-Time [Type = UInt64]: идентификатор уровня платформы фильтрации Windows. Layer Run-Time ID [Type = UInt64]: Windows Filtering Platform layer identifier. Чтобы найти определенный ID уровня платформы фильтрации Windows, запустите следующую команду: состояние шоу wfp netsh. To find a specific Windows Filtering Platform layer ID, run the following command: netsh wfp show state. В результате этой команды будет wfpstate.xml файл. As a result of this command, the wfpstate.xml file will be generated. Откройте этот файл и найдите определенное подстройка с требуемой iD слоя** ****например:** Open this file and find specific substring with required layer ID ( ), for example:
Рекомендации по контролю безопасности Security Monitoring Recommendations
Для 5158 (S): Платформа фильтрации Windows разрешила привязку к локальному порту. For 5158(S): The Windows Filtering Platform has permitted a bind to a local port.
Если у вас есть заранее определенное приложение, которое должно использоваться для выполнения операции, о чем было овеяно этим событием, отслеживайте события с помощью приложения «Application», не равного вашему определенному приложению. If you have a predefined application that should be used to perform the operation that was reported by this event, monitor events with “Application” not equal to your defined application.
Вы можете отслеживать,**** нет ли «Приложение» в стандартной папке (например, не в System32 или Program Files) или в ограниченной папке (например, **** Временные файлы Интернета). You can monitor to see if “Application” is not in a standard folder (for example, not in System32 or Program Files) or is in a restricted folder (for example, Temporary Internet Files).
Если у вас есть заранее определенный список ограниченных подстройок или слов в именах приложений (например,«mimikatz» или** «cain.exe»), **проверьте эти подстройки в «Application». If you have a pre-defined list of restricted substrings or words in application names (for example, “mimikatz” or “cain.exe”), check for these substrings in “Application.”
Убедитесь,что «Исходный адрес» является одним из адресов, присвоенных компьютеру. Check that “Source Address” is one of the addresses assigned to the computer.
Если необходимо отслеживать все действия с помощью определенного локального порта, отслеживайте 5158 событий с помощью этого «Source Port». If you need to monitor all actions with a specific local port, monitor for 5158 events with that “Source Port.”
Монитор для всех подключений с «номером протокола», который не является типичным для этого устройства или компьютера, например, ничего, кроме 6 или 17. Monitor for all connections with a “Protocol Number” that is not typical for this device or computer, for example, anything other than 6 or 17.
Если связь компьютера с «адресомназначения» всегда должна использовать определенный «Портназначения»,«монитор для любого другого «Порта назначения». If the computer’s communication with “Destination Address” should always use a specific “Destination Port,” monitor for any other “Destination Port.”
