Überwachung

  • Artikel
  • 2 Minuten Lesedauer

Die Windows Filterplattform (WFP) bietet Überwachung von Firewall- und IPsec-verwandten Ereignissen. Diese Ereignisse werden im Systemsicherheitsprotokoll gespeichert.

Die überwachten Ereignisse sind wie folgt.

Überwachungskategorie Überwachungsunterkategorie Überwachte Ereignisse
Richtlinienänderung
{6997984D-797A-11D9-BED3-5050545030}
 Änderung der Filterplattformrichtlinie
{0CCE9233-69AE-11D9-BED3-5050545030}
[! Hinweis]
Die Zahlen stellen die Ereignis-IDs dar, die von Ereignisanzeige (eventvwr.exe) angezeigt werden.

Hinzufügen und Entfernen von WFP-Objekten:
  • Hinzugefügtes 5440 persistentes Callout
  • 5441 Startzeit oder beständiger Filter hinzugefügt
  • 5442 Persistenter Anbieter hinzugefügt
  • 5443 Persistenter Anbieterkontext hinzugefügt
  • 5444 Persistente Unterebene hinzugefügt
  • 5446 Laufzeitbeschriftung hinzugefügt oder entfernt
  • 5447 Laufzeitfilter hinzugefügt oder entfernt
  • 5448 Laufzeitanbieter hinzugefügt oder entfernt
  • 5449 Laufzeitanbieterkontext hinzugefügt oder entfernt
  • 5450 Laufzeit-Unterebene hinzugefügt oder entfernt
Objektzugriff
{6997984A-797A-11D9-BED3-5050545030}
 Filterplattformpaket drop
{0CCE9225-69AE-11D9-BED3-5050545030}
 Von WFP abgelegte Pakete:
  • 5152 Paket gelöscht
  • 5153 Paket vetoiert
Objektzugriff
 Filterplattformverbindung
{0CCE9226-69AE-11D9-BED3-5050545030}
 Zulässige und blockierte Verbindungen:
  • 5154 Zulässige Listen
  • 5155 Blockierte Listen
  • 5156 Verbindung zulässig
  • 5157 Verbindung blockiert
  • 5158-Bindung zulässig
  • 5159 Bind blockiert
[! Hinweis]
Zulässige Verbindungen überwachen nicht immer die ID des zugeordneten Filters. Die FilterID für TCP ist 0, es sei denn, eine Teilmenge dieser Filterbedingungen wird verwendet: UserID, AppID, Protokoll, Remoteport.
Objektzugriff
 Andere Objektzugriffsereignisse
{0CCE9227-69AE-11D9-BED3-505054503030}
[! Hinweis]
Diese Unterkategorie ermöglicht viele Prüfungen. WFP-spezifische Prüfungen werden unten aufgeführt.

Denial of Service Prevention Status:
  • 5148 WFP DoS-Verhinderungsmodus gestartet
  • 5149 WFP DoS-Verhinderungsmodus wurde beendet
Anmeldung/Abmeldung
{69979849-797A-11D9-BED3-5050545030}
 IPsec-Hauptmodus
{0CCE9218-69AE-11D9-BED3-5050545030}
 IKE- und AuthIP-Hauptmodus-Verhandlung:
  • 4650, 4651 Sicherheitsverband eingerichtet
  • 4652, 4653 Verhandlungsfehler
  • 4655 Security Association beendet
Anmeldung/Abmeldung
 IPsec-Schnellmodus
{0CCE9219-69AE-11D9-BED3-5050545030}
 IKE- und AuthIP-Schnellmodus-Verhandlung:
  • 5451 Sicherheitszuordnung eingerichtet
  • 5452 Sicherheitszuordnung beendet
  • 4654 Verhandlungsfehler
Anmeldung/Abmeldung
 IPsec-Erweiterter Modus
{0CCE921A-69AE-11D9-BED3-5050545030}
 Aushandlung des erweiterten AuthIP-Modus:
  • 4978 Ungültiges Verhandlungspaket
  • 4979, 4980, 4981, 4982 Security Association eingerichtet
  • 4983, 4984 Verhandlungsfehler
System
{69979848-797A-11D9-BED3-5050545030}
 IPsec-Treiber
{0CCE9213-69AE-11D9-BED3-5050545030}
 Pakete, die vom IPsec-Treiber abgelegt wurden:
  • 4963 Eingehendes Löschen von Textpaketen

Standardmäßig ist die Überwachung für WFP deaktiviert.

Die Überwachung kann auf einer Kategoriebasis entweder über das Gruppenrichtlinie Objekt-Editor MMC-Snap-In, das MMC-Snap-In "Lokale Sicherheitsrichtlinie" oder den Befehl "auditpol.exe" aktiviert werden.

So können Sie beispielsweise die Überwachung von Richtlinienänderungsereignissen aktivieren:

  • Verwenden des Gruppenrichtlinie Objekt-Editors

    1. Führen Sie gpedit.msc aus.
    2. Erweitern Sie die Lokale Computerrichtlinie.
    3. Erweitern Sie Computerkonfiguration.
    4. Erweitern Sie Windows Einstellungen.
    5. Erweitern Sie die Sicherheits-Einstellungen.
    6. Erweitern Sie lokale Richtlinien.
    7. Klicken Sie auf Überwachungsrichtlinie.
    8. Doppelklicken Sie auf die Änderung der Überwachungsrichtlinie, um das Dialogfeld "Eigenschaften" zu starten.
    9. Aktivieren Sie die Kontrollkästchen "Erfolg" und "Fehler".

  • Verwenden der lokalen Sicherheitsrichtlinie

    1. Führen Sie secpol.msc aus.
    2. Erweitern Sie lokale Richtlinien.
    3. Klicken Sie auf Überwachungsrichtlinie.
    4. Doppelklicken Sie auf die Änderung der Überwachungsrichtlinie, um das Dialogfeld "Eigenschaften" zu starten.
    5. Aktivieren Sie die Kontrollkästchen "Erfolg" und "Fehler".

  • Verwenden des Befehls "auditpol.exe"

    • auditpol /set /category:"Policy Change" /success:enable /failure:enable

Die Überwachung kann nur über den befehl auditpol.exe aktiviert werden.

Die Überwachungskategorie und Unterkategorienamen werden lokalisiert. Um die Lokalisierung für Überwachungsskripts zu vermeiden, können die entsprechenden GUIDs anstelle der Namen verwendet werden.

Um beispielsweise die Überwachung der Filterplattformrichtlinienänderungsereignisse zu aktivieren, können Sie entweder einen der folgenden Befehle verwenden:

  • auditpol /set /subcategory:"Filters Platform Policy Change" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable /failure:enable

Auditpol

Ereignisprotokoll

Gruppenrichtlinie