Überwachung

  • Artikel

Die Windows-Filterplattform (Windows Filtering Platform, WFP) ermöglicht die Überwachung von Firewall- und IPsec-bezogenen Ereignissen. Diese Ereignisse werden im Systemsicherheitsprotokoll gespeichert.

Die überwachten Ereignisse sind wie folgt:

Kategorie "Überwachung" Überwachungsunterkategorie Überwachte Ereignisse
Richtlinienänderung
{6997984D-797A-11D9-BED3-505054503030}
 Filterplattform-Richtlinienänderung
{0CCE9233-69AE-11D9-BED3-505054503030}
 Hinweis: Die Zahlen stellen die Ereignis-IDs dar, die von Ereignisanzeige (eventvwr.exe) angezeigt werden.
Hinzufügen und Entfernen von WFP-Objekten:
– 5440 Persistente Legende hinzugefügt
- 5441 Startzeit oder persistenter Filter hinzugefügt
– 5442 Persistenter Anbieter hinzugefügt
– 5443 Persistenter Anbieterkontext hinzugefügt
- 5444 Persistente Unterebene hinzugefügt
- 5446 Laufzeit-Legende hinzugefügt oder entfernt
- 5447 Laufzeitfilter hinzugefügt oder entfernt
- 5448 Laufzeitanbieter hinzugefügt oder entfernt
– 5449 Laufzeitanbieterkontext hinzugefügt oder entfernt
- 5450 Laufzeitunterebene hinzugefügt oder entfernt
Objektzugriff
{6997984A-797A-11D9-BED3-505054503030}
 Filterplattform: Verworfene Pakete
{0CCE9225-69AE-11D9-BED3-505054503030}
 Von WFP gelöschte Pakete:
  • 5152 Gelöschtes Paket
  • 5153 Paket vetoed
Objektzugriff
 Filterplattformverbindung
{0CCE9226-69AE-11D9-BED3-505054503030}
 Zulässige und blockierte Verbindungen:
- 5154 Anhören erlaubt
- 5155 Lauschen blockiert
- 5156 Verbindung zulässig
- 5157 Verbindung blockiert
- 5158 Bindung zulässig
- 5159 Bindung blockiert
Hinweis: Zulässige Verbindungen überwachen nicht immer die ID des zugeordneten Filters. Die FilterID für TCP ist 0, es sei denn, eine Teilmenge dieser Filterbedingungen wird verwendet: UserID, AppID, Protocol, Remoteport.
Objektzugriff
 Andere Objektzugriffsereignisse
{0CCE9227-69AE-11D9-BED3-505054503030}
 Hinweis: Diese Unterkategorie ermöglicht viele Überwachungen. WFP-spezifische Überwachungen sind unten aufgeführt.
Denial-of-Service-Status:
- 5148 WFP DoS-Präventionsmodus gestartet
- 5149 WFP DoS-Präventionsmodus beendet
Anmeldung/Abmeldung
{69979849-797A-11D9-BED3-505054503030}
 IPsec-Hauptmodus
{0CCE9218-69AE-11D9-BED3-505054503030}
 IKE- und AuthIP-Hauptmodus-Aushandlung:
  • 4650, 4651 Sicherheitsverband gegründet
  • 4652, 4653 Fehler bei der Verhandlung
  • 4655 Ende der Sicherheitsassoziation
Anmeldung/Abmeldung
 IPsec-Schnellmodus
{0CCE9219-69AE-11D9-BED3-505054503030}
 IKE- und AuthIP-Schnellmodus-Aushandlung:
  • 5451 Gründung der Sicherheitsassoziation
  • 5452 Ende der Sicherheitsassoziation
  • 4654: Fehler bei der Aushandlung
Anmeldung/Abmeldung
 IPsec-Erweiterungsmodus
{0CCE921A-69AE-11D9-BED3-505054503030}
 AuthIP-Aushandlung im erweiterten Modus:
  • 4978 Ungültiges Aushandlungspaket
  • 4979, 4980, 4981, 4982 Sicherheitsverband gegründet
  • 4983, 4984: Verhandlung fehlgeschlagen
System
{69979848-797A-11D9-BED3-505054503030}
 IPsec-Treiber
{0CCE9213-69AE-11D9-BED3-505054503030}
 Vom IPsec-Treiber gelöschte Pakete:
  • 4963 Eingehendes Klartextpaket gelöscht

Standardmäßig ist die Überwachung für WFP deaktiviert.

Die Überwachung kann pro Kategorie über das MMC-Snap-In Gruppenrichtlinie Objekt-Editor, das MMC-Snap-In "Lokale Sicherheitsrichtlinie" oder den Befehl auditpol.exe aktiviert werden.

Um beispielsweise die Überwachung von Richtlinienänderungsereignissen zu aktivieren, können Sie:

  • Verwenden des Gruppenrichtlinie-Objekt-Editors

    1. Führen Sie gpedit.msc aus.
    2. Erweitern Sie Richtlinie für lokalen Computer.
    3. Erweitern Sie Computerkonfiguration.
    4. Erweitern Sie Windows-Einstellungen.
    5. Erweitern Sie Sicherheitseinstellungen.
    6. Erweitern Sie Lokale Richtlinien.
    7. Klicken Sie auf Überwachungsrichtlinie.
    8. Doppelklicken Sie auf Richtlinienänderung überwachen, um das Dialogfeld Eigenschaften zu starten.
    9. Aktivieren Sie die Kontrollkästchen Erfolg und Fehler.

  • Verwenden der lokalen Sicherheitsrichtlinie

    1. Führen Sie secpol.msc aus.
    2. Erweitern Sie Lokale Richtlinien.
    3. Klicken Sie auf Überwachungsrichtlinie.
    4. Doppelklicken Sie auf Richtlinienänderung überwachen, um das Dialogfeld Eigenschaften zu starten.
    5. Aktivieren Sie die Kontrollkästchen Erfolg und Fehler.

  • Verwenden des Befehls "auditpol.exe"

    • auditpol /set /category:"Policy Change" /success:enable /failure:enable

Die Überwachung kann nur über den Befehl auditpol.exe aktiviert werden.

Die Namen der Überwachungskategorie und der Unterkategorie werden lokalisiert. Um die Lokalisierung für Überwachungsskripts zu vermeiden, können die entsprechenden GUIDs anstelle der Namen verwendet werden.

Beispielsweise können Sie einen der folgenden Befehle verwenden, um die Überwachung von Ereignissen zur Änderung der Filterplattformrichtlinie zu aktivieren:

  • auditpol /set /subcategory:"Filtering Platform Policy Change" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol

Ereignisprotokoll

Gruppenrichtlinie