审核

  • 项目

Windows 筛选平台 (WFP) 提供防火墙和 IPsec 相关事件的审核。 这些事件存储在系统安全日志中。

审核的事件如下所示。

审核类别 审核子类别 审核的事件
策略更改
{6997984D-797A-11D9-BED3-505054503030}
 筛选平台策略更改
{0CCE9233-69AE-11D9-BED3-505054503030}
 注意:数字表示由 事件查看器 (eventvwr.exe) 显示的事件 ID。
添加和删除 WFP 对象:
- 添加了 5440 持久标注
- 添加了 5441 启动时间或持久性筛选器
- 添加了 5442 持久提供程序
- 添加了 5443 持久提供程序上下文
- 添加了 5444 持久子层
- 添加或删除 5446 运行时标注
- 添加或删除 5447 运行时筛选器
- 添加或删除 5448 运行时提供程序
- 添加或删除 5449 运行时提供程序上下文
- 添加或删除 5450 运行时子层
对象访问
{6997984A-797A-11D9-BED3-505054503030}
 筛选平台数据包丢弃
{0CCE9225-69AE-11D9-BED3-505054503030}
 WFP 丢弃的数据包数:
  • 5152 丢弃了数据包
  • 5153 数据包被否决
对象访问
 筛选平台连接
{0CCE9226-69AE-11D9-BED3-505054503030}
 允许的连接和阻止的连接:
- 允许侦听 5154
- 5155 侦听被阻止
- 允许 5156 连接
- 5157 连接已阻止
- 允许 5158 绑定
- 5159 已阻止绑定
注意: 允许的连接并不总是审核关联筛选器的 ID。 除非使用以下筛选条件的子集,否则 TCP 的 FilterID 将为 0:UserID、AppID、协议、远程端口。
对象访问
 其他对象访问事件
{0CCE9227-69AE-11D9-BED3-505054503030}
 注意: 此子类别支持许多审核。 下面列出了粮食计划署的具体审核。
拒绝服务防护状态:
- 5148 WFP DoS 防护模式已启动
- 5149 WFP DoS 防护模式已停止
登录/注销
{69979849-797A-11D9-BED3-505054503030}
 IPsec 主模式
{0CCE9218-69AE-11D9-BED3-505054503030}
 IKE 和 AuthIP 主模式协商:
  • 4650、4651 已建立安全关联
  • 4652、4653 协商失败
  • 4655 安全关联已结束
登录/注销
 IPsec 快速模式
{0CCE9219-69AE-11D9-BED3-505054503030}
 IKE 和 AuthIP 快速模式协商:
  • 5451 已建立安全关联
  • 5452 安全关联已结束
  • 4654 协商失败
登录/注销
 IPsec 扩展模式
{0CCE921A-69AE-11D9-BED3-505054503030}
 AuthIP 扩展模式协商:
  • 4978 协商数据包无效
  • 已建立 4979、4980、4981、4982 安全关联
  • 4983、4984 协商失败
系统
{69979848-797A-11D9-BED3-505054503030}
 IPsec 驱动程序
{0CCE9213-69AE-11D9-BED3-505054503030}
 IPsec 驱动程序丢弃的数据包数:
  • 4963 已删除入站明文数据包

默认情况下,禁用对 WFP 的审核。

可以通过 组策略 对象编辑器 MMC 管理单元、本地安全策略 MMC 管理单元或 auditpol.exe 命令按类别启用审核。

例如,若要启用策略更改事件的审核,可以:

  • 使用 组策略 对象编辑器

    1. 运行 gpedit.msc
    2. 展开“本地计算机策略”。
    3. 展开“计算机配置”。
    4. 展开 Windows 设置。
    5. 展开“安全设置”。
    6. 展开“本地策略”。
    7. 单击“审核策略”。
    8. 双击“审核策略更改”以启动“属性”对话框。
    9. 选中“成功”和“失败”检查框。

  • 使用本地安全策略

    1. 运行 secpol.msc
    2. 展开“本地策略”。
    3. 单击“审核策略”。
    4. 双击“审核策略更改”以启动“属性”对话框。
    5. 选中“成功”和“失败”检查框。

  • 使用 auditpol.exe 命令

    • auditpol /set /category:“Policy Change” /success:enable /failure:enable

只能通过 auditpol.exe 命令按子类别启用审核。

审核类别和子类别名称已本地化。 为了避免本地化审核脚本,可以使用相应的 GUID 来代替名称。

例如,若要启用筛选平台策略更改事件的审核,可以使用以下命令之一:

  • auditpol /set /subcategory:“筛选平台策略更改” /success:enable /failure:enable
  • auditpol /set /subcategory:“{0CCE9233-69AE-11D9-BED3-505054503030}” /success:enable /failure:enable

Auditpol

事件日志

组策略