監査フィルタリングプラットフォーム接続
監査フィルタリングプラットフォーム接続
監査フィルタリングプラットフォーム接続は、Windowsフィルタリングプラットフォームによって接続が許可またはブロックされたときにオペレーティングシステムが監査イベントを生成するかどうかを決定します。
Windowsフィルタリングプラットフォーム(WFP)は、独立系ソフトウェアベンダー(ISV)がTCP/IPパケットをフィルタリングおよび変更し、接続を監視または承認し、インターネットプロトコルセキュリティ(IPsec)で保護されたトラフィックをフィルタリングし、リモートプロシージャコール(RPC)をフィルタリングすることを可能にします。
このサブカテゴリには、ブロックおよび許可された接続、ブロックおよび許可されたポートバインディング、ブロックおよび許可されたポートリスニングアクション、および受信接続を受け入れるためにブロックされたアプリケーションに関するWindowsフィルタリングプラットフォームイベントが含まれます。
イベントボリューム: 高。
| コンピュータの種類 | 一般的な成功 | 一般的な失敗 | 強い成功 | 強い失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | いいえ | はい | IF | はい | このサブカテゴリの成功監査は通常、システムに対して行われたすべての接続ごとに1つのイベントを生成するため、非常に高いボリュームのイベントを生成します。失敗イベント(たとえば、ブロックされた接続)を監査することがはるかに重要です。収集された情報の使用および分析に関する推奨事項については、セキュリティ監視の推奨事項セクションを参照してください。IF - 高価値のコンピュータまたはデバイスで信頼されていないIPアドレスへの送信または受信接続を監視する必要がある場合は、成功監査を有効にします。 |
| メンバーサーバー | いいえ | はい | IF | はい | このサブカテゴリの成功監査は通常、システムに対して行われたすべての接続ごとに1つのイベントを生成するため、非常に高いボリュームのイベントを生成します。失敗イベント(たとえば、ブロックされた接続)を監査することがはるかに重要です。収集された情報の使用および分析に関する推奨事項については、セキュリティ監視の推奨事項セクションを参照してください。IF - 高価値のコンピュータまたはデバイスで信頼されていないIPアドレスへの送信または受信接続を監視する必要がある場合は、成功監査を有効にします。 |
| ワークステーション | いいえ | はい | IF | はい | このサブカテゴリの成功監査は通常、システムに対して行われたすべての接続ごとに1つのイベントを生成するため、非常に高いボリュームのイベントを生成します。失敗イベント(たとえば、ブロックされた接続)を監査することがはるかに重要です。収集された情報の使用および分析に関する推奨事項については、セキュリティ監視の推奨事項セクションを参照してください。IF - 高価値のコンピュータまたはデバイスで信頼されていないIPアドレスへの送信または受信接続を監視する必要がある場合は、成功監査を有効にします。 |
イベントリスト:
5031(F): Windowsファイアウォールサービスがネットワーク上でアプリケーションが受信接続を受け入れるのをブロックしました。
5150(-): Windowsフィルタリングプラットフォームがパケットをブロックしました。
5151(-): より制限の厳しいWindowsフィルタリングプラットフォームフィルターがパケットをブロックしました。
5154(S): Windowsフィルタリングプラットフォームがアプリケーションまたはサービスに対して、受信接続を待ち受けるためのポートでのリッスンを許可しました。
5155(F): Windowsフィルタリングプラットフォームがアプリケーションまたはサービスに対して、受信接続を待ち受けるためのポートでのリッスンをブロックしました。
5156(S): Windowsフィルタリングプラットフォームが接続を許可しました。
5157(F): Windowsフィルタリングプラットフォームが接続をブロックしました。
5158(S): Windowsフィルタリングプラットフォームがローカルポートへのバインドを許可しました。
5159(F): Windowsフィルタリングプラットフォームがローカルポートへのバインドをブロックしました。