共用方式為

稽核

  • 發行項

Windows 篩選平台 () 提供防火牆和 IPsec 相關事件的稽核。 這些事件會儲存在系統安全性記錄檔中。

稽核的事件如下所示。

稽核類別 稽核子類別 稽核的事件
原則變更
{6997984D-797A-11D9-BED3-505054503030}
 篩選平臺原則變更
{0CCE9233-69AE-11D9-BED3-505054503030}
 注意:數位代表事件識別碼,如事件檢視器 (eventvwr.exe) 所顯示。
在新增和移除中加入和移除的一個物件:
- 已新增 5440 持續性圖說文字
- 已新增 5441 開機時間或持續性篩選
- 已新增 5442 持續性提供者
- 已新增 5443 持續性提供者內容
- 已新增 5444 持續性子層
- 5446 新增或移除執行時間圖說文字
- 5447 已新增或移除執行時間篩選
- 5448 已新增或移除執行時間提供者
- 5449 已新增或移除執行時間提供者內容
- 5450 已新增或移除執行時間子層
物件存取
{6997984A-797A-11D9-BED3-505054503030}
 篩選平臺封包捨棄
{0CCE9225-69AE-11D9-BED3-505054503030}
 一個由一個以一個方式卸載的封包:
  • 5152 封包已捨棄
  • 5153 封包已核准
物件存取
 篩選平臺連線
{0CCE9226-69AE-11D9-BED3-505054503030}
 允許和封鎖的連線:
- 5154 允許接聽
- 5155 已封鎖接聽
- 允許 5156 連線
- 5157 已封鎖連線
- 允許 5158 系結
- 5159 已封鎖系結
注意: 允許的連線不一定會稽核相關聯篩選準則的識別碼。 除非使用這些篩選準則的子集,否則 TCP 的 FilterID 會是 0:UserID、AppID、通訊協定、遠端埠。
物件存取
 其他物件存取事件
{0CCE9227-69AE-11D9-BED3-505054503030}
 注意: 此子類別可啟用許多稽核。 以下列出其特定稽核。
拒絕服務防護狀態:
- 5148 開始的一個是一開始的,是一種預防模式
- 5149 已停止的一個「新進階」DOS 預防模式
登入/登出
{69979849-797A-11D9-BED3-505054503030}
 IPsec 主要模式
{0CCE9218-69AE-11D9-BED3-505054503030}
 IKE 和 AuthIP 主要模式交涉:
  • 已建立 4650、4651 安全性關聯
  • 4652、4653 交涉失敗
  • 4655 安全性關聯已結束
登入/登出
 IPsec 快速模式
{0CCE9219-69AE-11D9-BED3-505054503030}
 IKE 和 AuthIP 快速模式交涉:
  • 5451 已建立安全性關聯
  • 5452 安全性關聯已結束
  • 4654 交涉失敗
登入/登出
 IPsec 延伸模式
{0CCE921A-69AE-11D9-BED3-505054503030}
 AuthIP 擴充模式交涉:
  • 4978 不正確交涉封包
  • 4979、4980、4981、4982 安全性關聯已建立
  • 4983,4984 交涉失敗
系統
{69979848-797A-11D9-BED3-505054503030}
 IPsec 驅動程式
{0CCE9213-69AE-11D9-BED3-505054503030}
 IPsec 驅動程式捨棄的封包:
  • 4963 捨棄輸入純文字封包

根據預設,會停用一次對一開始的一項稽核。

您可以透過群組原則物件編輯器 MMC 嵌入式管理單元、本機安全性原則 MMC 嵌入式管理單元或 auditpol.exe 命令,依類別啟用稽核。

例如,若要啟用原則變更事件的稽核,您可以:

  • 使用群組原則物件編輯器

    1. 執行 gpedit.msc
    2. 展開 [本機電腦原則]。
    3. 展開 [電腦設定]。
    4. 展開 \[Windows 設定\]。
    5. 展開 [安全性設定]。
    6. 展開 [本機原則]。
    7. 按一下 [稽核原則]。
    8. 按兩下 [稽核原則變更] 以啟動 [屬性] 對話方塊。
    9. 核取 [成功] 和 [失敗] 核取方塊。

  • 使用本機安全性原則

    1. 執行 secpol.msc
    2. 展開 [本機原則]。
    3. 按一下 [稽核原則]。
    4. 按兩下 [稽核原則變更] 以啟動 [屬性] 對話方塊。
    5. 核取 [成功] 和 [失敗] 核取方塊。

  • 使用 auditpol.exe 命令

    • auditpol /set /category:「Policy Change」 /success:enable /failure:enable

稽核只能透過 auditpol.exe 命令,以個別子類別為基礎啟用。

稽核類別和子類別名稱已當地語系化。 為了避免當地語系化稽核腳本,可能會使用對應的 GUID 來取代名稱。

例如,若要啟用篩選平臺原則變更事件的稽核,您可以使用下列其中一個命令:

  • auditpol /set /subcategory:「篩選平臺原則變更」 /success:enable /failure:enable
  • auditpol /set /subcategory:「{0CCE9233-69AE-11D9-BED3-505054503030}」 /success:enable /failure:enable

Auditpol

事件記錄檔

群組原則