Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsque vous examinez les événements de suppression de paquets, vous pouvez utiliser le champ Filter Run-Time ID des audits 5157 de la plateforme de filtrage Windows (PAM) ou 5152.
L’ID de filtre identifie de manière unique le filtre à l’origine de la suppression de paquets. L’ID de filtre peut faire l’objet d’une recherche dans la sortie de vidage de l’état PAM pour effectuer le suivi jusqu’à la règle de pare-feu d’où provient le filtre. Toutefois, l’ID de filtre n’est pas une source fiable pour le traçage vers le filtre ou la règle, car l’ID de filtre peut changer pour de nombreuses raisons, même si la règle ne change pas du tout. La modification de l’ID rend le processus de diagnostic sujet aux erreurs et difficile.
Pour déboguer les événements de suppression de paquets correctement et efficacement, vous avez besoin de davantage de contexte sur le filtre de blocage, comme son origine. Les filtres de blocage peuvent être classés sous les origines de filtre suivantes :
- Règles de pare-feu
- Filtres de blocs par défaut du pare-feu
- Bouclage AppContainer
- Durée de démarrage par défaut
- Mise en quarantaine par défaut
- Interroger l’utilisateur par défaut
- Furtivité
- plateforme Windows universelle (UWP) par défaut
- Valeur par défaut du renforcement du service Windows (WSH)
La section suivante décrit les améliorations apportées aux audits 5157 et 5152 aux Windows 11 et Windows Server 2022, ainsi que la façon dont les origines du filtre sont utilisées dans ces événements.
Audit du pare-feu amélioré
À compter de Windows 11 et Windows Server 2022, deux nouveaux champs ajoutés à l’audit 5157 et 5152 aux événements sont Filter Origin et Interface Index :
- Le champ Filtrer l’origine permet d’identifier la cause de la suppression. Les suppressions de paquets du pare-feu sont explicitement supprimées par les filtres de blocs par défaut créés par le service Pare-feu Windows ou par une règle de pare-feu qui peut être créée par des utilisateurs, des stratégies, des services, des applications, etc. Filter Origin spécifie l’ID de règle (identificateur unique d’une règle de pare-feu) ou le nom de l’un des filtres de blocs par défaut
- Le champ Index de l’interface spécifie l’interface réseau dans laquelle le paquet a été supprimé. Ce champ permet d’identifier l’interface qui a été mise en quarantaine, si l’origine du filtre est une valeur par défaut de mise en quarantaine
Pour activer un événement d’audit spécifique, exécutez la commande correspondante dans une invite de commandes administrateur :
| Audit # | Activer la commande | Link |
|---|---|---|
| 5157 | Auditpol /set /category:"System" /SubCategory:"Filtering Platform Connection" /success:enable /failure:enable |
5157(F) : la plateforme de filtrage Windows a bloqué une connexion. |
| 5152 | Auditpol /set /category:"System" /SubCategory:"Filtering Platform Packet Drop" /success:enable /failure:enable |
5152(F) : la plateforme de filtrage Windows a bloqué un paquet. |
Exemple de flux de débogage de suppressions de paquets avec l’origine du filtre
Lorsque les surfaces d’audit filtrent l’origine et l’index d’interface, l’administrateur réseau peut déterminer la cause racine de la suppression de paquets réseau et l’interface sur laquelle il s’est produit.
Les sections suivantes sont divisées par type d’origine de filtre . La valeur est un nom de règle ou le nom de l’un des filtres de blocs par défaut. Si l’origine du filtre est l’un des filtres de blocs par défaut, passez à la section Filtres de blocs par défaut du pare-feu.
Règles de pare-feu
Exécutez la commande PowerShell suivante pour générer les informations de règle à l’aide de Filter Origin.
Get-NetFirewallRule -Name "<Filter Origin>"
Get-NetFirewallRule -Name " {A549B7CF-0542-4B67-93F9-EEBCDD584377} "
Après avoir identifié la règle à l’origine de la suppression, l’administrateur réseau peut modifier ou désactiver la règle pour autoriser le trafic qu’il souhaite via l’un des outils disponibles. L’administrateur réseau peut trouver la règle dans l’interface utilisateur avec le DisplayName de la règle.
Remarque
Les règles de pare-feu du magasin Mobile Gestion des appareils (MDM) ne peuvent pas faire l’objet d’une recherche à l’aide de l’interface utilisateur du Pare-feu Windows. En outre, la méthode ci-dessus ne fonctionne pas lorsque l’origine du filtre est l’un des filtres de blocs par défaut, car ils ne correspondent à aucune règle de pare-feu.
Filtres de blocs par défaut du pare-feu
Bouclage AppContainer
Les événements de suppression réseau de l’origine du filtre de bloc de bouclage AppContainer se produisent lorsque le bouclage localhost n’est pas activé correctement pour l’application plateforme Windows universelle (UWP) :
- Pour activer le bouclage localhost dans un environnement de débogage local, consultez Communication avec localhost
- Pour activer le bouclage localhost pour une application publiée qui nécessite un accès en bouclage pour communiquer avec une autre application UWP ou Win32 empaquetée, consultez uap4 :LoopbackAccessRules
Durée de démarrage par défaut
Les événements de suppression réseau de l’origine du filtre de bloc par défaut au moment du démarrage se produisent lorsque l’ordinateur démarre et que le service de pare-feu n’est pas encore en cours d’exécution. Les services doivent créer un filtre d’autorisation de temps de démarrage pour autoriser le trafic. Notez qu’il n’est pas possible d’ajouter des filtres de temps de démarrage via des règles de pare-feu.
Mise en quarantaine par défaut
Les suppressions réseau du filtre de bloc par défaut de mise en quarantaine se produisent lorsque l’interface est temporairement mise en quarantaine par le service de pare-feu. Le service de pare-feu met en quarantaine une interface lorsqu’il détecte une modification sur le réseau et, en fonction de plusieurs autres facteurs, le service de pare-feu peut mettre l’interface en quarantaine comme protection. Lorsqu’une interface est mise en quarantaine, le filtre de bloc par défaut de mise en quarantaine bloque toutes les nouvelles connexions entrantes sans bouclage.
Exécutez la commande PowerShell suivante pour générer plus d’informations sur l’interface :
Get-NetIPInterface -InterfaceIndex <Interface Index>
Pour en savoir plus sur la fonctionnalité de mise en quarantaine, consultez Comportement de mise en quarantaine.
Remarque
Les suppressions de paquets liées à la mise en quarantaine sont souvent temporaires et ne signifient rien de plus qu’une modification du réseau sur l’interface.
Interroger l’utilisateur par défaut
Les suppressions de paquets réseau des filtres de blocs par défaut de l’utilisateur de requête se produisent lorsqu’aucune règle explicite n’est créée pour autoriser une connexion entrante pour le paquet. Lorsqu’une application est liée à un socket, mais qu’elle n’a pas de règle de trafic entrant correspondante pour autoriser les paquets sur ce port, Windows génère une fenêtre contextuelle permettant à l’utilisateur d’autoriser ou de refuser à l’application de recevoir des paquets sur les catégories de réseau disponibles. Si l’utilisateur choisit de refuser la connexion dans la fenêtre contextuelle, les paquets entrants suivants vers l’application sont supprimés. Pour résoudre les chutes :
- Créez une règle de pare-feu de trafic entrant pour autoriser le paquet pour cette application. La règle permet au paquet de contourner les filtres de bloc par défaut de l’utilisateur de requête
- Supprimer toutes les règles utilisateur de requête de bloc qui peuvent avoir été générées automatiquement par le service de pare-feu
Pour générer une liste de toutes les règles de bloc utilisateur de requête, vous pouvez exécuter la commande PowerShell suivante :
Get-NetFirewallRule | Where {$_.Name -like "*Query User*"}
La fonctionnalité contextuelle d’utilisateur de requête est activée par défaut. Pour désactiver la fenêtre contextuelle de l’utilisateur de requête, vous pouvez exécuter la commande suivante dans l’invite de commandes d’administration :
Netsh set allprofiles inboundusernotification disable
Ou dans PowerShell :
Set-NetFirewallProfile -NotifyOnListen False
Furtivité
Les suppressions réseau des filtres furtifs sont généralement effectuées pour empêcher l’analyse des ports.
Pour désactiver le mode furtif, consultez Désactiver le mode furtif dans Windows.
UWP par défaut
Les chutes réseau des filtres de blocs entrants/sortants par défaut de plateforme Windows universelle (UWP) sont souvent dues au fait que l’application UWP n’est pas configurée correctement (c’est-à-dire que l’application UWP ne dispose pas des jetons de capacité appropriés ou que le bouclage n’est pas activé) ou que la plage privée n’est pas configurée de manière incorrecte.
Pour plus d’informations sur la façon de déboguer les suppressions provoquées par des filtres de blocs UWP par défaut, consultez Résolution des problèmes de connectivité des applications UWP.
Valeur par défaut de WSH
Les suppressions réseau des filtres par défaut WSH (Windows Service Hardening) indiquent qu’il n’y avait pas de règle d’autorisation explicite de renforcement du service Windows pour autoriser le trafic réseau pour le service protégé. Le propriétaire du service doit configurer des règles d’autorisation pour le service si le bloc n’est pas attendu.