Аудит изменения политики платформы фильтрации Audit Filtering Platform Policy Change

Относится к: Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Изменение политики фильтрации платформы аудита позволяет проверять события, происходящие в результате изменений платформы фильтрации Windows (WFP), например следующих: Audit Filtering Platform Policy Change allows you to audit events generated by changes to the Windows Filtering Platform (WFP), such as the following:

Состояние служб IPsec. IPsec services status.

Изменения параметров политики IPsec. Changes to IPsec policy settings.

Изменения параметров политики базовой политики фильтрации двигателя платформы фильтрации Windows. Changes to Windows Filtering Platform Base Filtering Engine policy settings.

Изменения поставщиков ИПП и двигателя. Changes to WFP providers and engine.

Платформа фильтрации Windows (WFP) позволяет независимым поставщикам программного обеспечения (ISVs) фильтровать и изменять пакеты TCP/IP, отслеживать или авторизовать подключения, фильтровать трафик, защищенный протоколом Интернета (IPsec) и фильтровать удаленные вызовы процедур (RPCs). Windows Filtering Platform (WFP) enables independent software vendors (ISVs) to filter and modify TCP/IP packets, monitor or authorize connections, filter Internet Protocol security (IPsec)-protected traffic, and filter remote procedure calls (RPCs).

4709(S): запущены службы IPsec. 4709(S): IPsec Services was started.

4710(S): службы IPsec были отключены. 4710(S): IPsec Services was disabled.

4711(S): Может содержать любой из следующих ниже. 4711(S): May contain any one of the following:

4712(F): службы IPsec столкнулись с потенциально серьезным сбоем. 4712(F): IPsec Services encountered a potentially serious failure.

5040(S). В параметры IPsec было внося изменения. 5040(S): A change has been made to IPsec settings. Добавлен набор проверки подлинности. An Authentication Set was added.

5041(S). В параметры IPsec было внося изменения. 5041(S): A change has been made to IPsec settings. Был изменен набор проверки подлинности. An Authentication Set was modified.

5042(S). В параметры IPsec было внося изменения. 5042(S): A change has been made to IPsec settings. Набор проверки подлинности был удален. An Authentication Set was deleted.

5043(S). В параметры IPsec было внося изменения. 5043(S): A change has been made to IPsec settings. Добавлено правило безопасности подключения. A Connection Security Rule was added.

5044(S). В параметры IPsec было внося изменения. 5044(S): A change has been made to IPsec settings. Изменено правило безопасности подключения. A Connection Security Rule was modified.

5045(S). В параметры IPsec было внося изменения. 5045(S): A change has been made to IPsec settings. Правило безопасности подключения было удалено. A Connection Security Rule was deleted.

5046(S). В параметры IPsec было внося изменения. 5046(S): A change has been made to IPsec settings. Был добавлен набор криптографии. A Crypto Set was added.

5047(S). В параметры IPsec было внося изменения. 5047(S): A change has been made to IPsec settings. Был изменен набор криптографии. A Crypto Set was modified.

5048(S). В параметры IPsec было внося изменения. 5048(S): A change has been made to IPsec settings. Набор криптографии был удален. A Crypto Set was deleted.

5440(S). При работе базового фильтруемного двигателя платформы фильтрации Windows присутствовал следующий вызов. 5440(S): The following callout was present when the Windows Filtering Platform Base Filtering Engine started.

5441(S). При работе базового фильтра платформы фильтрации Windows присутствовал следующий фильтр. 5441(S): The following filter was present when the Windows Filtering Platform Base Filtering Engine started.

5442(S): Следующий поставщик присутствовал при работе базового двигателя фильтрации платформы фильтрации Windows. 5442(S): The following provider was present when the Windows Filtering Platform Base Filtering Engine started.

5443(S). При работе базового фильтруемного двигателя платформы фильтрации Windows присутствовал следующий контекст поставщика. 5443(S): The following provider context was present when the Windows Filtering Platform Base Filtering Engine started.

5444(S): Следующий подслой присутствовал при работе базового фильтруемого двигателя платформы фильтрации Windows. 5444(S): The following sub-layer was present when the Windows Filtering Platform Base Filtering Engine started.

5446(S): вызов платформы фильтрации Windows был изменен. 5446(S): A Windows Filtering Platform callout has been changed.

5448(S): поставщик платформы фильтрации Windows был изменен. 5448(S): A Windows Filtering Platform provider has been changed.

5449(S). Контекст поставщика платформы фильтрации Windows изменен. 5449(S): A Windows Filtering Platform provider context has been changed.

5450(S). Был изменен подуровневый уровень платформы фильтрации Windows. 5450(S): A Windows Filtering Platform sub-layer has been changed.

5456(S): PAStore Engine применяет политику IPsec хранилища Active Directory на компьютере. 5456(S): PAStore Engine applied Active Directory storage IPsec policy on the computer.

5457(F): paStore Engine не смог применить политику IPsec хранилища Active Directory на компьютере. 5457(F): PAStore Engine failed to apply Active Directory storage IPsec policy on the computer.

5458(S): PAStore Engine применяет локализованную кэшную копию политики IPsec хранилища Active Directory на компьютере. 5458(S): PAStore Engine applied locally cached copy of Active Directory storage IPsec policy on the computer.

5459(F): paStore Engine не смог применить локализованную кэшную копию политики IPsec хранилища Active Directory на компьютере. 5459(F): PAStore Engine failed to apply locally cached copy of Active Directory storage IPsec policy on the computer.

5460 (S): PAStore Engine применяет политику IPsec локального хранилища реестра на компьютере. 5460(S): PAStore Engine applied local registry storage IPsec policy on the computer.

5461(F): PAStore Engine не смог применить политику IPsec локального хранилища реестра на компьютере. 5461(F): PAStore Engine failed to apply local registry storage IPsec policy on the computer.

5462(F): PAStore Engine не смог применить некоторые правила активной политики IPsec на компьютере. 5462(F): PAStore Engine failed to apply some rules of the active IPsec policy on the computer. Чтобы диагностировать проблему, используйте оснастку ip Security Monitor. Use the IP Security Monitor snap-in to diagnose the problem.

5463(S): PAStore Engine опросил изменения в активной политике IPsec и не обнаружил никаких изменений. 5463(S): PAStore Engine polled for changes to the active IPsec policy and detected no changes.

5464(S): paStore Engine опросил изменения в активной политике IPsec, обнаружил изменения и применил их к службам IPsec. 5464(S): PAStore Engine polled for changes to the active IPsec policy, detected changes, and applied them to IPsec Services.

5465(S): PAStore Engine получил управление для принудительной перезагрузки политики IPsec и успешно обработал управление. 5465(S): PAStore Engine received a control for forced reloading of IPsec policy and processed the control successfully.

5466(F): paStore Engine опросил изменения политики IPsec Active Directory, определил, что Active Directory не удается достичь, и вместо этого будет использовать кэшную копию политики IPsec Active Directory. 5466(F): PAStore Engine polled for changes to the Active Directory IPsec policy, determined that Active Directory cannot be reached, and will use the cached copy of the Active Directory IPsec policy instead. Любые изменения, внесенные в политику IPsec Active Directory с момента последнего опроса, не удалось применить. Any changes made to the Active Directory IPsec policy since the last poll could not be applied.

5467(F): paStore Engine опросил изменения политики IPsec Active Directory, определил, что Active Directory можно достичь, и не нашел изменений в политике. 5467(F): PAStore Engine polled for changes to the Active Directory IPsec policy, determined that Active Directory can be reached, and found no changes to the policy. Кэшная копия политики IPsec Active Directory больше не используется. The cached copy of the Active Directory IPsec policy is no longer being used.

5468(S): paStore Engine опросил изменения политики IPsec Active Directory, определил, что Active Directory можно достичь, нашел изменения в политике и применил эти изменения. 5468(S): PAStore Engine polled for changes to the Active Directory IPsec policy, determined that Active Directory can be reached, found changes to the policy, and applied those changes. Кэшная копия политики IPsec Active Directory больше не используется. The cached copy of the Active Directory IPsec policy is no longer being used.

5471(S): PAStore Engine загружает на компьютер политику локальных IPsec хранилища. 5471(S): PAStore Engine loaded local storage IPsec policy on the computer.

5472(F): paStore Engine не смог загрузить на компьютер политику локальных IPsec хранилища. 5472(F): PAStore Engine failed to load local storage IPsec policy on the computer.

5473(S): политика IPsec хранилища каталогов paStore Engine на компьютере. 5473(S): PAStore Engine loaded directory storage IPsec policy on the computer.

5474(F): paStore Engine не смог загрузить политику IPsec хранилища каталогов на компьютер. 5474(F): PAStore Engine failed to load directory storage IPsec policy on the computer.

5477(F): в paStore Engine не удалось добавить фильтр быстрого режима. 5477(F): PAStore Engine failed to add quick mode filter.

5447(S). Был изменен фильтр платформы фильтрации Windows. 5447(S): A Windows Filtering Platform filter has been changed.

Относится к: Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Описание события: Event Description:

Это событие создает каждый раз, когда фильтр платформы фильтрации Windows был изменен. This event generates every time a Windows Filtering Platform filter has been changed.

Обычно он создается во время процедур обновления групповой политики. It typically generates during Group Policy update procedures.

Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события. Note For recommendations, see Security Monitoring Recommendations for this event.

XML события: Event XML:

Необходимые роли сервера: нет. Required Server Roles: None.

Минимальная версия ОС: Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.

Версии события: 0. Event Versions: 0.

Рекомендации по контролю безопасности Security Monitoring Recommendations

Для 5447 (S): был изменен фильтр платформы фильтрации Windows. For 5447(S): A Windows Filtering Platform filter has been changed.

• Это событие в основном используется для устранения неполадок платформы фильтрации Windows и обычно не имеет значения для безопасности. This event mainly used for Windows Filtering Platform troubleshooting and typically has little to no security relevance.

—>

Windows filtering platform как отключить

Общие обсуждения

Ошибка 5157, ошибка фильтрации пакетов, дело в том что на адресе назначении находится SQL SERVER 2000 и базы 1С, проблем не возникает на XP, проблема проявляется не со всеми базами, но после блокировки подключения выскакивает ошибка о вылете 1С, причем вылетает при блокировки двух портов 1433 (sql) и 445, с этим вопрос как данные порта или данный адрес назначения добавить в исключение данной платформы фильтрации.

Платформа фильтрации IP-пакетов Windows заблокировала подключение.

Сведения о приложении:
Идентификатор процесса: 8912
Имя приложения: \device\harddiskvolume3\program files (x86)\1cv77\bin\1cv7s.exe

Сведения о сети:
Направление: Исходящие
Адрес источника: 172.16.15.230
Порт источника: 62964
Адрес назначения: 172.16.0.31
Порт назначения: 1433
Протокол: 6

Сведения о фильтре:
Идентификатор выполнения фильтра: 0
Имя уровня: Подключить
Идентификатор выполнения уровня: 48

Имя сбойного приложения: 1cv7s.exe, версия: 7.70.0.21, отметка времени: 0x3ece5f61
Имя сбойного модуля: KERNELBASE.dll, версия: 6.1.7600.16385, отметка времени 0x4a5bdbdf
Код исключения: 0xe06d7363
Смещение ошибки: 0x0000b727
Идентификатор сбойного процесса: 0x618
Время запуска сбойного приложения: 0x01cb8d4211e2fcf9
Путь сбойного приложения: C:\Program Files (x86)\1Cv77\BIN\1cv7s.exe
Путь сбойного модуля: C:\Windows\syswow64\KERNELBASE.dll
Код отчета: eb05185d-f935-11df-bdc7-506313fe7bce

Если вы что-то не любите, то вы это просто не умеете готовить.

Windows filtering platform как отключить

General discussion

Два контролера домена под w2k8r2 соединены медленным каналом связи (один в филиале).

На обоих валятся события 5157

«Платформа фильтрации IP-пакетов Windows заблокировала подключение.

Сведения о приложении:
Идентификатор процесса: 344
Имя приложения: \device\harddiskvolume2\windows\system32\svchost.exe»

Приложения и порты разные. Блокируются как входящие, так и исходящие соединения, но в основном между этими контролерами.

WFP реально блокирует пакеты и соединения. Из-за этого нарушается работа репликации между этими контролерами, удаленное подключение с одного на другой, заход на шару другого.
Причем на это не влияет состояние файрвола (его и отключали и разрешали все). То, что найдено на в инете или не отностися к R2 (например это http://support.microsoft.com/kb/969257) или не помогает (например это http://support.microsoft.com/kb/981889)

Вопрос на самом деле простой — как полностью отключить WPF?

All replies

IPSec не трогали, все по умолчанию, политику не настраивали.

IPv6 отвязан от сетевой карты, в hosts адрес ::1 закомментирован. Но это сделано после того, как были обнаружены проблемы с WFP.

Пошагово выполните следующую инструкцию (именно в том порядке, как указано, не пропуская пунктов):

1. Enable (if you need to) and start the Firewall Service (This gives you access to the Firewall MMC and inbound/outbound rules)

2. Ensure that all the domain/private and public profile are turned off.

3. Go into Outbound Rules — Disable ALL rules

4. Go into Inbound Rules — Disable ALL rules

5. Disable (or set back to manual) and stop the Firewall Service.

И отпишитесь о результате

Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий

Сделали по шагам на обоих серверах. Проблема осталась без изменений.

Кстати, бликировки происходят даже с отключенной Базовой службе фильтрации, а не только файрвола!

Может быть можно как-то деинсталлировать WFP? (речь о w2k8r2 идет)

Удалить эту платформу невозможно. Но попробуйте сделать вот что — включите на серверах политику Local Computer Policy -> Computer Configuration -> Windows Settings -> Security Settings ->Local policy -> Security options ->
Audit: Force audit policy subcategory settings ( Windows Vista or later) to override audit policy category settings. ТАкже при помощи auditpol.exe посмотрите, включено ли ведение журналов аудита на серверах и если да, то для чего

Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий

Audit: Force audit policy subcategory settings ( Windows Vista or later) to override audit policy category settings — сделал Enable.

В журнале событий безопасности перестали появляться какие либо сообщения,

в оснасте локальной политики безопасности все, в том числе Доступ к объестам в состоянии «нет аудита»,

результат auditpol для категории Доступ к объектам:

C:\Users\soap>auditpol /get /category:<6997984a-797a-11d9-bed3-505054503030>
System audit policy
Category/Subcategory Setting
Доступ к объектам
Файловая система No Auditing
Реестр No Auditing
Объект-задание No Auditing
SAM No Auditing
Службы сертификации No Auditing
Создано приложением No Auditing
Работа с дескриптором No Auditing
Файловый ресурс общего доступа No Auditing
Отбрасывание пакета платформой фильтрацииNo Auditing
Подключение платформы фильтрации No Auditing
Другие события доступа к объекту No Auditing
Сведения об общем файловом ресурсе No Auditing