Condividi tramite

Controllo

  • Articolo

Windows Filtering Platform (WFP) fornisce il controllo degli eventi correlati firewall e IPsec. Questi eventi vengono archiviati nel log di sicurezza del sistema.

Gli eventi controllati sono i seguenti.

Categoria di controllo Sottocategoria di controllo Eventi controllati
Modifica criteri
{6997984D-797A-11D9-BED3-505054503030}
 Modifica dei criteri della piattaforma di filtro
{0CCE9233-69AE-11D9-BED3-505054503030}
 Nota: I numeri rappresentano gli ID evento visualizzati da Visualizzatore eventi (eventvwr.exe).
Aggiunta e rimozione dell'oggetto WFP:
- 5440 Callout persistente aggiunto
- 5441 Avvio o filtro persistente aggiunto
- 5442 Provider persistente aggiunto
- 5443 Contesto del provider persistente aggiunto
- 5444 Aggiunta di un livello secondario persistente
- 5446 Callout di runtime aggiunto o rimosso
- 5447 Filtro di runtime aggiunto o rimosso
- 5448 Provider di runtime aggiunto o rimosso
- 5449 Contesto del provider di runtime aggiunto o rimosso
- 5450 Livello secondario aggiunto o rimosso
Accesso a oggetti
{6997984A-797A-11D9-BED3-505054503030}
 Eliminazione dei pacchetti della piattaforma di filtro
{0CCE9225-69AE-11D9-BED3-505054503030}
 Pacchetti eliminati dal WFP:
  • 5152 Pacchetti eliminati
  • 5153 Pacchetto vetoed
Accesso a oggetti
 Filtro della connessione della piattaforma
{0CCE9226-69AE-11D9-BED3-505054503030}
 Connessioni consentite e bloccate:
- 5154 Listen consentito
- 5155 Listen bloccato
- 5156 Connessione consentita
- 5157 Connessione bloccata
- 5158 Bind consentito
- 5159 Bind bloccato
Nota: Le connessioni consentite non controllano sempre l'ID del filtro associato. L'ID filtro per TCP sarà 0 a meno che non venga usato un subset di queste condizioni di filtro: UserID, AppID, Protocollo, Porta remota.
Accesso a oggetti
 Altri eventi di accesso a oggetti
{0CCE9227-69AE-11D9-BED3-505054503030}
 Nota: Questa sottocategoria consente molti controlli. Di seguito sono elencati i controlli specifici del WFP.
Stato di prevenzione del servizio Denial of Service:
- 5148 Modalità di prevenzione doS DEL WFP avviata
- 5149 Modalità di prevenzione doS DEL WFP arrestata
Accesso/Fine sessione
{69979849-797A-11D9-BED3-505054503030}
 Modalità principale IPsec
{0CCE9218-69AE-11D9-BED3-505054503030}
 Negoziazione della modalità principale IKE e AuthIP:
  • 4650, 4651 Associazione di sicurezza stabilita
  • 4652, 4653 Negoziazione non riuscita
  • 4655 Associazione di sicurezza terminata
Accesso/Fine sessione
 Modalità rapida IPsec
{0CCE9219-69AE-11D9-BED3-505054503030}
 Negoziazione in modalità rapida IKE e AuthIP:
  • 5451 Associazione di sicurezza stabilita
  • 5452 Associazione di sicurezza terminata
  • 4654 Negoziazione non riuscita
Accesso/Fine sessione
 Modalità estesa IPsec
{0CCE921A-69AE-11D9-BED3-505054503030}
 Negoziazione della modalità estesa AuthIP:
  • 4978 Pacchetto di negoziazione non valido
  • 4979, 4980, 4981, 4982 Associazione di sicurezza stabilita
  • 4983, 4984 Negoziazione non riuscita
Sistema
{69979848-797A-11D9-BED3-505054503030}
 IPsec Driver
{0CCE9213-69AE-11D9-BED3-505054503030}
 Pacchetti eliminati dal driver IPsec:
  • 4963 Pacchetto di testo cancella in ingresso eliminato

Per impostazione predefinita, il controllo per IL WFP è disabilitato.

Il controllo può essere abilitato in base a categoria tramite lo snap-in MMC dell'editor di oggetti Criteri di gruppo, lo snap-in MMC criteri di sicurezza locali o il comando auditpol.exe.

Ad esempio, per abilitare il controllo degli eventi di modifica dei criteri, è possibile:

  • Usare l'editor di oggetti Criteri di gruppo

    1. Eseguire gpedit.msc.
    2. Espandere Criteri computer locali.
    3. Espandere Configurazione computer.
    4. Espandere Impostazioni di Windows.
    5. Espandere Impostazioni di sicurezza.
    6. Espandere Criteri locali.
    7. Fare clic su Criteri di controllo.
    8. Fare doppio clic su Modifica dei criteri di controllo per avviare la finestra di dialogo Proprietà.
    9. Selezionare le caselle di controllo Esito positivo e Errore.

  • Usare i criteri di sicurezza locali

    1. Eseguire secpol.msc.
    2. Espandere Criteri locali.
    3. Fare clic su Criteri di controllo.
    4. Fare doppio clic su Modifica dei criteri di controllo per avviare la finestra di dialogo Proprietà.
    5. Selezionare le caselle di controllo Esito positivo e Errore.

  • Usare il comando auditpol.exe

    • auditpol /set /category:"Modifica dei criteri" /success:enable /failure:enable

Il controllo può essere abilitato per sottocategoria solo tramite il comando auditpol.exe.

La categoria di controllo e i nomi di sottocategoria vengono localizzati. Per evitare la localizzazione per gli script di controllo, è possibile usare i GUID corrispondenti al posto dei nomi.

Ad esempio, per abilitare il controllo degli eventi di modifica dei criteri della piattaforma di filtro, è possibile usare uno dei comandi seguenti:

  • auditpol /set /subcategory:"Filtering Platform Policy Change" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol

Registro eventi

Criteri di gruppo