Платформа фильтрации IP-пакетов Windows заблокировала соединение
Обновлено: 21.11.2024
Отбрасывание пакетов платформы фильтрации аудита определяет, генерирует ли операционная система события аудита, когда пакеты отбрасываются платформой фильтрации Windows.
Платформа фильтрации Windows (WFP) позволяет независимым поставщикам программного обеспечения (ISV) фильтровать и изменять пакеты TCP/IP, отслеживать или авторизовать подключения, фильтровать трафик, защищенный протоколом IPsec, и фильтровать удаленные вызовы процедур (RPC).
Высокое количество отброшенных пакетов может указывать на попытки несанкционированного доступа к компьютерам в вашей сети.
Громкость событий: высокая.
| Тип компьютера | Общий успех | Общий отказ | Более высокий успех | Более сильный отказ | Комментарии |
|---|---|---|---|---|---|
| Контроллер домена | Нет | Нет | Нет | Нет | Объем аварийных событий обычно очень велик для этой подкатегории и обычно используется для устранения неполадок. Если вам нужно отслеживать заблокированные соединения, лучше использовать «5157(F): Платформа фильтрации Windows заблокировала соединение», потому что она содержит почти ту же информацию и генерирует для каждого соединения, а не для каждого пакета. Не рекомендуется включать аудит успеха, поскольку события успеха в этой подкатегории происходят редко. |
| Member Server | Нет | Нет | Нет | Нет | Объем аварийных событий обычно очень велик для этой подкатегории и обычно используется для устранения неполадок. Если вам нужно отслеживать заблокированные соединения, лучше использовать «5157(F): Платформа фильтрации Windows заблокировала соединение», потому что она содержит почти ту же информацию и генерирует для каждого соединения, а не для каждого пакета. Не рекомендуется включать аудит успеха, поскольку события успеха в этой подкатегории происходят редко. |
| Рабочая станция | Нет | Нет | Нет | Нет | Объем аварийных событий обычно очень высок для этой подкатегории и обычно используется для устранения неполадок. Если вам нужно отслеживать заблокированные соединения, лучше использовать «5157(F): Платформа фильтрации Windows заблокировала соединение», потому что она содержит почти ту же информацию и генерирует для каждого соединения, а не для каждого пакета. Не рекомендуется включать аудит успеха, поскольку события успеха в этой подкатегории происходят редко. |
Список событий:
5152(F): Платформа фильтрации Windows заблокировала пакет.
5153(S): более строгий фильтр платформы фильтрации Windows заблокировал пакет.
-->
Описание события:
Это событие генерируется, когда платформа фильтрации Windows заблокировала сетевой пакет.
Это событие генерируется для каждого принятого сетевого пакета.
XML события:
Необходимые роли сервера: Нет.
Минимальная версия ОС: Windows Server 2008, Windows Vista.
Версии события: 0.
Описания полей:
Информация о приложении:
Идентификатор процесса [Type = Pointer]: шестнадцатеричный идентификатор процесса, которому был отправлен заблокированный сетевой пакет. Идентификатор процесса (PID) — это число, используемое операционной системой для уникальной идентификации активного процесса. Чтобы увидеть PID для конкретного процесса, вы можете, например, использовать Диспетчер задач (вкладка «Подробности», столбец PID):
Если вы преобразуете шестнадцатеричное значение в десятичное, вы можете сравнить его со значениями в диспетчере задач.
Вы также можете сопоставить этот идентификатор процесса с идентификатором процесса в других событиях, например, "4688: новый процесс создан" Информация о процессе\Новый идентификатор процесса.
Имя приложения [Type = UnicodeString]: полный путь и имя исполняемого файла для процесса.
Информация о сети:
Направление [Type = UnicodeString]: направление заблокированного соединения.
Входящие — для входящих подключений.
Исходящие — для несвязанных подключений.
Source Address [Type = UnicodeString]: локальный IP-адрес, по которому приложение получило пакет.
:: - все IP-адреса в формате IPv6
0.0.0.0 — все IP-адреса в формате IPv4
127.0.0.1 , ::1 — локальный хост
Source Port [Type = UnicodeString]: номер порта, через который приложение получило пакет.
Адрес назначения [Type = UnicodeString]: IP-адрес, откуда был получен или инициирован пакет.
:: - все IP-адреса в формате IPv6
0.0.0.0 — все IP-адреса в формате IPv4
127.0.0.1 , ::1 — локальный хост
Порт назначения [Type = UnicodeString]: номер порта, который использовался с удаленного компьютера для отправки пакета.
Protocol [Type = UInt32]: номер используемого протокола.
Информация о фильтре:
Идентификатор времени выполнения фильтра [Type = UInt64]: уникальный идентификатор фильтра, который заблокировал пакет.
Чтобы найти конкретный фильтр платформы фильтрации Windows по идентификатору, выполните следующую команду: netsh wfp show filter. В результате выполнения этой команды будет сгенерирован файл filter.xml. Откройте этот файл и найдите определенную подстроку с требуемым идентификатором фильтра ( ), например:
Имя слоя [Type = UnicodeString]: имя слоя принудительного применения прикладного уровня.
Идентификатор времени выполнения слоя [Type = UInt64]: идентификатор уровня платформы фильтрации Windows. Чтобы найти определенный идентификатор уровня платформы фильтрации Windows, выполните следующую команду: netsh wfp show state. В результате этой команды будет сгенерирован файл wfpstate.xml. Откройте этот файл и найдите определенную подстроку с требуемым идентификатором слоя ( ), например:
Рекомендации по мониторингу безопасности
Для 5152(F): Платформа фильтрации Windows заблокировала пакет.
Если у вас есть предопределенное приложение, которое должно использоваться для выполнения операции, о которой сообщило это событие, отслеживайте события со значением «Приложение», не равным вашему определенному приложению.
Вы можете отслеживать, находится ли «Приложение» не в стандартной папке (например, не в System32 или Program Files) или не в папке с ограниченным доступом (например, Temporary Internet Files).
Если у вас есть предварительно определенный список запрещенных подстрок или слов в именах приложений (например, «mimikatz» или «cain.exe»), проверьте наличие этих подстрок в «Приложении».
Убедитесь, что исходный адрес является одним из адресов, назначенных компьютеру.
Если компьютер или устройство не должно иметь доступа к Интернету или содержит только приложения, которые не подключаются к Интернету, отслеживайте события 5152, где адрес назначения — это IP-адрес из Интернета (не из частных диапазонов IP-адресов). .
Если вы знаете, что компьютер никогда не должен связываться или никогда не должен связываться с определенными сетевыми IP-адресами, отслеживайте эти адреса в Адресе назначения.
Если у вас есть разрешенный список IP-адресов, с которыми компьютер или устройство, как ожидается, будет связываться или будет связываться, отслеживайте IP-адреса в «Адресе назначения», которых нет в белом списке.
Если вам нужно отслеживать все входящие подключения к определенному локальному порту, отслеживайте события 5152 с этим «исходным портом».
Отслеживайте все подключения с «Номером протокола», который не является типичным для этого устройства или компьютера, например, любой, кроме 1, 6 или 17.
Если для связи компьютера с «Адресом назначения» всегда должен использоваться определенный «Порт назначения», следите за любым другим «Портом назначения».
-->
Описание события:
Это событие генерируется, когда платформа фильтрации Windows заблокировала соединение.
XML события:
Необходимые роли сервера: Нет.
Минимальная версия ОС: Windows Server 2008, Windows Vista.
Версии события: 0.
Описания полей:
Информация о приложении:
Идентификатор процесса [Type = Pointer]: шестнадцатеричный идентификатор процесса, который пытался создать соединение. Идентификатор процесса (PID) — это число, используемое операционной системой для уникальной идентификации активного процесса. Чтобы увидеть PID для конкретного процесса, вы можете, например, использовать Диспетчер задач (вкладка «Подробности», столбец PID):
Если вы преобразуете шестнадцатеричное значение в десятичное, вы можете сравнить его со значениями в диспетчере задач.
Вы также можете сопоставить этот идентификатор процесса с идентификатором процесса в других событиях, например, "4688: новый процесс создан" Информация о процессе\Новый идентификатор процесса.
Имя приложения [Type = UnicodeString]: полный путь и имя исполняемого файла для процесса.
Информация о сети:
Направление [Type = UnicodeString]: направление заблокированного соединения.
Входящие — для входящих подключений.
Исходящие — для несвязанных подключений.
Source Address [Type = UnicodeString]: локальный IP-адрес, по которому приложение получило соединение.
:: - все IP-адреса в формате IPv6
0.0.0.0 — все IP-адреса в формате IPv4
127.0.0.1 , ::1 — локальный хост
Исходный порт [Type = UnicodeString]: номер порта, через который приложение получило соединение.
Адрес назначения [Type = UnicodeString]: IP-адрес, откуда соединение было получено или инициировано.
:: - все IP-адреса в формате IPv6
0.0.0.0 — все IP-адреса в формате IPv4
127.0.0.1 , ::1 — локальный хост
Порт назначения [Type = UnicodeString]: номер порта, который использовался с удаленного компьютера для инициирования подключения.
Protocol [Type = UInt32]: номер используемого протокола.
Информация о фильтре:
Идентификатор времени выполнения фильтра [Type = UInt64]: уникальный идентификатор фильтра, который заблокировал соединение.
Чтобы найти конкретный фильтр платформы фильтрации Windows по идентификатору, выполните следующую команду: netsh wfp show filter. В результате выполнения этой команды будет сгенерирован файл filter.xml. Откройте этот файл и найдите определенную подстроку с требуемым идентификатором фильтра ( ), например:
Имя слоя [Type = UnicodeString]: имя слоя принудительного применения прикладного уровня.
Идентификатор времени выполнения слоя [Type = UInt64]: идентификатор уровня платформы фильтрации Windows. Чтобы найти определенный идентификатор уровня платформы фильтрации Windows, выполните следующую команду: netsh wfp show state. В результате этой команды будет сгенерирован файл wfpstate.xml. Откройте этот файл и найдите определенную подстроку с требуемым идентификатором слоя ( ), например:
Рекомендации по мониторингу безопасности
Для 5157(F): Платформа фильтрации Windows заблокировала соединение.
Если у вас есть предопределенное приложение, которое должно использоваться для выполнения операции, о которой сообщило это событие, отслеживайте события со значением «Приложение», не равным вашему определенному приложению.
Вы можете отслеживать, находится ли «Приложение» не в стандартной папке (например, не в System32 или Program Files) или не в папке с ограниченным доступом (например, Temporary Internet Files).
Если у вас есть предварительно определенный список запрещенных подстрок или слов в именах приложений (например, «mimikatz» или «cain.exe»), проверьте наличие этих подстрок в «Приложении».
Убедитесь, что «Исходный адрес» является одним из адресов, назначенных компьютеру.
Если компьютер или устройство не должно иметь доступа к Интернету или содержит только приложения, которые не подключаются к Интернету, отслеживайте события 5157, где «Адрес назначения» — это IP-адрес из Интернета (не из частного диапазоны IP-адресов).
Если вы знаете, что компьютер никогда не должен связываться или никогда не должен связываться с определенными сетевыми IP-адресами, отслеживайте эти адреса в разделе «Адрес назначения».
Если у вас есть разрешенный список IP-адресов, с которыми компьютер или устройство, как ожидается, будет связываться или будет связываться, отслеживайте IP-адреса в «Адресе назначения», которых нет в белом списке.
Если вам нужно отслеживать все входящие подключения к определенному локальному порту, отслеживайте события 5157 с этим «исходным портом».
Отслеживайте все подключения с «Номером протокола», который не является типичным для этого устройства или компьютера, например, любой, кроме 1, 6 или 17.
Если для связи компьютера с «Адресом назначения» всегда должен использоваться определенный «Порт назначения», следите за любым другим «Портом назначения».
Привет, ребята, я вижу много событий, в основном на двух машинах домена под управлением Windows 7.
В разделе безопасности средства просмотра событий много ошибок аудита с кодом события 5152
"платформа фильтрации Windows заблокировала пакет"
Мне интересно, связано ли это с брандмауэром, но отключение брандмауэра не повлияло на предотвращение их накопления, и они генерируются почти каждую минуту.
Кто-нибудь еще сталкивался с этой проблемой или знает, как ее решить?
Популярные темы в Windows 7
Рупеш (Лепид)
Представитель бренда Lepide
Если мы хотим отключить регистрацию событий, связанных с 5152, попробуйте выполнить следующие действия:
Дополнительную информацию см. в следующих темах:
Thread1
Thread2
11 ответов
Это каждый раз один и тот же источник? Если да, загляните в эту машину. Протокол 17 — это UDP. Порт 15600 может иметь несколько вариантов.
КевинБ85
Используйте WireShark, чтобы узнать, что ему отправляет исходный компьютер
КевинБ85
Кроме того, проверьте адрес назначения: 192.168.40.255 , широковещательный адрес Другие машины видят это?
здесь исходные IP-адреса различаются для разных событий. (в основном с других компьютеров в сети)
некоторые даже 0.0.0.0
и некоторые адреса назначения также заканчиваются на x.255, что даже недействительно
а некоторые предназначены для 255.255 .255,255
Как насчет порта назначения? Всегда ли так?
Это почти либо 255.255.255.255, либо 40.255, которые являются широковещательными адресами.
Я спрашивал о порте. Всегда ли 15600? Это не похоже на случайное число. Если это всегда так, это может указывать на правильное направление.
Привет, извините, я неправильно понял.
Порты назначения также различаются.
15600,8610,67,60103 и т. д.
Наверное, я бы начал с отслеживания портов назначения. Если они совершенно случайны, это одно, но если это одна и та же горстка снова и снова, это то, что нужно продолжать.
Рупеш (Лепид)
Представитель бренда Lepide
Если мы хотим отключить регистрацию событий, связанных с 5152, попробуйте выполнить следующие действия:
Дополнительную информацию см. в следующих темах:
Thread1
Thread2
Это происходило в сети на многих компьютерах. параметры групповой политики были установлены как не настроенные в отношении отбрасывания пакетов этой платформы фильтрации.
похоже, решение уменьшило количество генерируемых журналов.
Эта тема заблокирована администратором и больше не открыта для комментариев.
Чтобы продолжить это обсуждение, задайте новый вопрос.
Эргономичное оборудование
Кто в США должен нести ответственность за предоставление эргономичного оборудования по запросу сотрудника? Это ИТ, поскольку ИТ предоставляет клавиатуры и мыши? Должен ли это быть HR, поскольку он эргономичен и несет потенциальную ответственность, если НЕ предоставляется? Должен ли это быть тот отдел.
Приветствие Xfinity (личный домашний Интернет)
Во-первых, мне больно. Я мог бы произнести речь «Он ставит передо мной задачу», как Хан в «Звездном пути 2: Гнев Хана». Просто замените «Они» на «Он». Но они сделали то, чего я хотел годами (десятилетиями?), так что, думаю, это должно быть признано. Ю.
Щелкни!SATCOM Threat, IE End of Life, Mac с кирпичами, Planet 9, Lego Delorean
Ваша ежедневная доза технических новостей. Вы должны это услышать. ФБР и CISA предупреждают об угрозах для сетей спутниковой связи Согласно новому предупреждению ФБР и CISA спутниковые сети находятся в зоне высокого риска. Согласно ZDNet.
Какими сверхспособностями вы хотели бы обладать?
Что может сделать ИТ-специалист со сверхспособностями? В каких ИТ-задачах вы бы их использовали и как?
Можно ли подключить интерфейс управления коммутатора к одному из его собственных портов коммутатора?
Недавно я понял, что у меня есть конфигурация коммутатора с непреднамеренным потенциальным побочным эффектом. У меня есть Aruba 6300F с несколькими виртуальными локальными сетями. Он работает в режиме уровня 3. Это работает следующим образом: я просто «включаю» функции маршрутизатора, а затем.
Читайте также: