Compartir a través de

Registro de auditoría de origen de filtro

Al investigar eventos de eliminación de paquetes, puede usar el campo Filter Run-Time ID de las auditorías 5157 de la Plataforma de filtrado de Windows (WFP) o 5152.

Propiedades del evento.

El identificador de filtro identifica de forma única el filtro que provocó la eliminación del paquete. El identificador de filtro se puede buscar en la salida de volcado de estado de WFP para realizar un seguimiento de la regla de firewall desde la que se originó el filtro. Sin embargo, el identificador de filtro no es un origen confiable para realizar el seguimiento al filtro o a la regla, ya que el identificador de filtro puede cambiar por muchas razones a pesar de que la regla no cambia en absoluto. El cambio en el identificador hace que el proceso de diagnóstico sea propenso a errores y difícil.

Para depurar eventos de eliminación de paquetes de forma correcta y eficaz, necesita más contexto sobre el filtro de bloqueo, como su origen. Los filtros de bloqueo se pueden clasificar en estos orígenes de filtro:

  1. Reglas de firewall
  2. Filtros de bloque predeterminados del firewall
    1. Bucle invertido de AppContainer
    2. Valor predeterminado de tiempo de arranque
    3. Cuarentena predeterminada
    4. Consulta del usuario predeterminado
    5. Sigilo
    6. valor predeterminado de Plataforma universal de Windows (UWP)
    7. Valor predeterminado de Protección del servicio de Windows (WSH)

En la sección siguiente se describen las mejoras realizadas en las auditorías 5157 y 5152 en Windows 11 y Windows Server 2022, y cómo se usan los orígenes del filtro en estos eventos.

Auditoría de firewall mejorada

A partir de Windows 11 y Windows Server 2022, dos nuevos campos agregados a la auditoría 5157 y 5152 los eventos son Filter Origin e Interface Index:

  • El campo Origen del filtro ayuda a identificar la causa de la eliminación. Las eliminaciones de paquetes del firewall se quitan explícitamente de forma predeterminada los filtros de bloque creados por el servicio Firewall de Windows o una regla de firewall que pueden crear los usuarios, directivas, servicios, aplicaciones, etc. Filter Origin' especifica el identificador de regla (un identificador único de una regla de firewall) o el nombre de uno de los filtros de bloque predeterminados.
  • El campo Índice de interfaz especifica la interfaz de red en la que se quitó el paquete. Este campo ayuda a identificar qué interfaz se puso en cuarentena, si el origen del filtro es un valor predeterminado de cuarentena.

Para habilitar un evento de auditoría específico, ejecute el comando correspondiente en un símbolo del sistema de administrador:

Auditoría # Habilitar comando Vínculo
5157 Auditpol /set /category:"System" /SubCategory:"Filtering Platform Connection" /success:enable /failure:enable 5157(F): la Plataforma de filtrado de Windows ha bloqueado una conexión.
5152 Auditpol /set /category:"System" /SubCategory:"Filtering Platform Packet Drop" /success:enable /failure:enable 5152(F): la Plataforma de filtrado de Windows bloqueó un paquete.

Flujo de ejemplo de eliminación de paquetes de depuración con origen de filtro

A medida que la auditoría expone el origen del filtro y el índice de interfaz, el administrador de red puede determinar la causa principal de la eliminación de paquetes de red y la interfaz en la que ocurrió.

Auditoría de eventos.

Las secciones siguientes se dividen por tipo de origen de filtro , el valor es un nombre de regla o el nombre de uno de los filtros de bloque predeterminados. Si el origen del filtro es uno de los filtros de bloque predeterminados, vaya a la sección Filtros de bloque predeterminados del firewall.

Reglas de firewall

Ejecute el siguiente comando de PowerShell para generar la información de la regla mediante Filter Origin.

Get-NetFirewallRule -Name "<Filter Origin>"
Get-NetFirewallRule -Name " {A549B7CF-0542-4B67-93F9-EEBCDD584377} "

Regla de firewall.

Después de identificar la regla que provocó la eliminación, el administrador de red puede modificar o deshabilitar la regla para permitir el tráfico que desea a través de una de las herramientas disponibles. El administrador de red puede encontrar la regla en la interfaz de usuario con displayName de la regla.

Nota

Las reglas de firewall del almacén de Mobile Administración de dispositivos (MDM) no se pueden buscar mediante la interfaz de usuario de Firewall de Windows. Además, el método anterior no funciona cuando el origen del filtro es uno de los filtros de bloque predeterminados, ya que no se corresponden con ninguna regla de firewall.

Filtros de bloque predeterminados del firewall

Bucle invertido de AppContainer

Los eventos de colocación de red del origen del filtro de bloque de bucle invertido de AppContainer se producen cuando el bucle invertido localhost no está habilitado correctamente para la aplicación de Plataforma universal de Windows (UWP):

  • Para habilitar el bucle invertido localhost en un entorno de depuración local, consulte Comunicación con localhost.
  • Para habilitar el bucle invertido localhost para una aplicación publicada que requiere acceso de bucle invertido para comunicarse con otra aplicación win32 empaquetada o para UWP, consulta uap4:LoopbackAccessRules.

Valor predeterminado de tiempo de arranque

Los eventos de eliminación de red del origen predeterminado del filtro de bloque del tiempo de arranque se producen cuando el equipo se está iniciando y el servicio de firewall aún no se está ejecutando. Los servicios deben crear un tiempo de arranque que permita el filtro para permitir el tráfico. Debe tenerse en cuenta que no es posible agregar filtros de tiempo de arranque mediante reglas de firewall.

Cuarentena predeterminada

Las caídas de red del filtro de bloque predeterminado de cuarentena se producen cuando el servicio firewall pone temporalmente en cuarentena la interfaz. El servicio de firewall pone en cuarentena una interfaz cuando detecta un cambio en la red y, en función de otros factores, el servicio de firewall podría poner la interfaz en cuarentena como medida de seguridad. Cuando se pone en cuarentena una interfaz, el filtro de bloque predeterminado de cuarentena bloquea las nuevas conexiones entrantes que no son de bucle invertido.

Ejecute el siguiente comando de PowerShell para generar más información sobre la interfaz:

Get-NetIPInterface -InterfaceIndex <Interface Index>

Para más información sobre la característica de cuarentena, consulte Comportamiento de cuarentena.

Nota

Las caídas de paquetes relacionadas con la cuarentena suelen ser transitorias y no significan nada más que un cambio de red en la interfaz.

Consulta del usuario predeterminado

Las caídas de paquetes de red de los filtros de bloque predeterminados del usuario de consulta se producen cuando no se crea ninguna regla explícita para permitir una conexión de entrada para el paquete. Cuando una aplicación se enlaza a un socket pero no tiene una regla de entrada correspondiente para permitir paquetes en ese puerto, Windows genera un elemento emergente para que el usuario permita o deniegue que la aplicación reciba paquetes en las categorías de red disponibles. Si el usuario selecciona denegar la conexión en el elemento emergente, se quitarán los paquetes entrantes posteriores a la aplicación. Para resolver las caídas:

  1. Cree una regla de firewall de entrada para permitir el paquete para esta aplicación. La regla permite que el paquete omita los filtros de bloque predeterminados del usuario de consulta.
  2. Elimina cualquier regla de usuario de consulta de bloque que pueda haber generado automáticamente el servicio de firewall.

Para generar una lista de todas las reglas de bloque de usuario de consulta, puede ejecutar el siguiente comando de PowerShell:

Get-NetFirewallRule | Where {$_.Name -like "*Query User*"}

La característica emergente de usuario de consulta está habilitada de forma predeterminada. Para deshabilitar la ventana emergente del usuario de consulta, puede ejecutar el siguiente comando en el símbolo del sistema administrativo:

Netsh set allprofiles inboundusernotification disable

O en PowerShell:

Set-NetFirewallProfile -NotifyOnListen False

Sigilo

Las caídas de red de los filtros sigiloso se realizan normalmente para evitar el escaneo de puertos.

Para deshabilitar el modo sigiloso, consulta Deshabilitar el modo sigiloso en Windows.

Valor predeterminado de UWP

Las caídas de red de los filtros de bloque de entrada y salida predeterminados de Plataforma universal de Windows (UWP) suelen deberse a que la aplicación para UWP no se configura correctamente (es decir, la aplicación para UWP no tiene los tokens de funcionalidad correctos o el bucle invertido no está habilitado) o el intervalo privado está configurado incorrectamente.

Para obtener más información sobre cómo depurar caídas causadas por filtros de bloque predeterminados de UWP, consulta Solución de problemas de conectividad de aplicaciones para UWP.

WSH predeterminado

Las caídas de red de los filtros predeterminados de Windows Service Hardening (WSH) indican que no había una regla explícita de permiso de protección de servicios de Windows para permitir el tráfico de red para el servicio protegido. El propietario del servicio debe configurar reglas de permiso para el servicio si no se espera el bloque.