Платформа фильтрации ip пакетов windows заблокировала подключение 5157

by Kazim Ali Alvi

Kazim has always been fond of technology, be it scrolling through the settings on his iPhone, Android device, or Windows. And at times, unscrewing the device to take… read more

Published on December 30, 2021

Windows 11, the latest iteration in the series from Microsoft, is said to be the most advanced and user-oriented. However, encountering errors remains as common, if not more than the previous version. In this article, we will be taking up the Windows Filtering Platform has blocked a connection problem.

The error arises when certain packets or connections are blocked by the Base Filtering Engine. Though the problem may seem intricate to most users, its solutions are rather simple and have been listed out in the following sections.

For those encountering the error in Windows 11, it’s likely that the upgrade didn’t go through successfully and there’s some kind of misrecognition in Windows Firewall.

But, before we head to the fixes, it’s imperative that you understand the role of the Windows Filtering Platform and its main features.

How does the Windows Filtering Platform help developers?

Windows Filtering Platform, a set of system services and API (Application Programming Interface) allows developers to create network filtering applications. It was first introduced in Windows Vista and has been a part of the Windows ecosystem ever since.

It can also be used to build independent firewalls, antivirus, amongst other network-related applications. With this, an application can access and modify packets while these are being processed.

The three main features of the Windows Filtering Platform are as follows:

• Base Filter Engine
• Generic Filter Engine
• Callout Modules

Now that you are fairly acquainted with the concept, let’s head to the most effective fixes for the Windows Filtering Platform has blocked a connection problem in Windows 11.

How can I fix the Windows Filtering Platform has blocked a connection error in Windows 11?

1. Disable the Firewall

1. Press Windows + S to launch the Search menu. Enter Windows Defender Firewall in the text field at top and click on the relevant search result that appears.
2. Next, click on Turn Windows Defender Firewall on or off from the list of options on the left.
3. Tick the checkboxes for Turn off Windows Defender Firewall (not recommended) under both Private network settings and Public network settings, and click on OK at the bottom to save the changes.

After making the changes, restart the system and check if the Windows Filtering Platform has blocked a connection problem is eliminated in Windows 11. If not, head to the fix listed next.

2. Run DISM tool

1. Press Windows + S to launch the Search menu. Enter Windows Terminal in the text field at the top, right-click on the relevant search result and select Run as administrator from the context menu.
2. Click Yes on the UAC (User Account Control) prompt that pops up.
3. Click on the downward-facing arrow at the top and select Command Prompt from the list of options. Alternatively, you can hit the Ctrl + Shift + 2 to launch Command Prompt in a new tab in Windows Terminal.
4. Next, paste the following command and hit Enter to execute it:DISM/Online /Cleanup-image /Scanhealth
5. Finally, execute the following command:DISM/Online /Cleanup-image /Restorehealth

3. Perform a quick SFC scan

1. Press Windows + R to launch the Run command. Enter wt in the text field, press and hold the Ctrl + Shift keys, and then either click on OK or hit Enter to launch an elevated Windows Terminal.
2. Click Yes on the UAC (User Account Control) prompt.
3. Click on the downward arrow and select Command Prompt from the menu that appears.
4. Next, type/paste the following command and hit Enter to run the SFC scan:sfc /scannow

The SFC (System File Checker) scan is used to identify corrupt system files, and if any are found, replace them with their cached copy stored on the system. So, if it’s the corrupt system files that are causing the Windows Filtering Platform has blocked a connection problem in Windows 11, running the SFC scan should fix it.

After executing the command, wait for the scan to complete, then restart the computer and check if the problem is eliminated. If the issue still persists, you can try Restoro that has more advanced features.

4. Restart Windows Security Center

1. Press Windows + R to launch the Run command. Enter services.msc in the text field, and either click on OK or hit Enter to launch the Services app.
2. Locate and double-click on the Windows Defender Firewall service.
3. Check if the Service status reads Running.
4. If not, click on the Start button under Service status to run the service.
5. Next, press Windows + S to launch the Search menu. Enter Windows Terminal in the text field, right-click on the relevant search result that appears, and select Run as administrator from the context menu.
6. Click Yes on the UAC (User Account Control) prompt that appears.
7. Next, execute the following command and then restart the PC:reg add "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender" /v "DisableAntiSpyware" /d 1 /t REG_DWORD /f
8. After the computer restarts, paste the following command and hit Enter:reg add "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender" /v "DisableAntiSpyware" /d 0 /t REG_DWORD /f

Once done, again restart the computer and check if the Windows Filtering Platform has blocked a connection problem is fixed in Windows 11.

5. Disable your antivirus

NOTE

We have listed the steps to disable the built-in Windows Security app. In case you are using a third-party antivirus, check its settings or head to the FAQ section on the manufacturer’s website for the steps to disable it.

1. Press Windows + S to launch the Search menu. Enter Windows Security in the text field at the top, and then click on the relevant search result that appears.
2. Click on Virus & threat protection.
3. Click on Manage settings under Virus & threat protection settings.
4. Next, click on the toggle under Real-time protection to disable the antivirus.
5. Lastly, click Yes on the UAC (User Account Control) prompt that pops up.

Oftentimes, the antivirus is known to conflict with the network settings and lead to a bunch of errors. This the generally the case with third-party antiviruses but the built-in Windows Security is also sometimes found to be the culprit.

Hence if the above fixes haven’t worked, you can try disabling the antivirus and check if the Windows Filtering Platform has blocked a connection problem is eliminated in Windows 11.

In case the error persists, uninstall the third-party antivirus app and verify if that changes the situation. Also, check out our curated list of the best antivirus software for Windows 11.

6. Create a new local account

In many cases, it was a corruption in the user account that led to the Windows Filtering Platform has blocked a connection problem. If that’s the case, and the above methods have fixed it, you can create a new local account on your Windows 11 PC.

While there is a lot of debate around whether you should go for a Microsoft account or a Local one, the latter should be a better choice here since it’s not linked to any servers and can be used independently on the device.

Once you have created a new local account, the error should not be present in the Event Viewer anymore.

Which is better, Windows 11 or Windows 10?

With Windows 11 finally launched, most have been nothing but excited to get their hands on the latest iteration. But, a lot of users have been skeptical of the upgrade owing to various factors.

The primary reason is that they are accustomed to Windows 10 and it will take some time to get familiar with the new OS. But, that’s not a good enough reason since Windows 11 offers both a slightly better user interface along with a bunch of other features and security enhancements, meant to improve your experience.

If you too are confused between the two, go through our guide where we compare Windows 11 and Windows 10.

That’s all there is to the Windows Filtering Platform has blocked a connection problem in Windows 11 along with the most relevant fixes for it.

In case the methods listed above do not eliminate the Windows Filtering Platform has blocked a packet error, you can either perform a system restore or reset Windows 11 to its factory settings.

Tell us which fix worked and your thoughts on the whole Windows 11 vs Windows 10 debate in the comments section below.

by Kazim Ali Alvi

Kazim has always been fond of technology, be it scrolling through the settings on his iPhone, Android device, or Windows. And at times, unscrewing the device to take… read more

Published on December 30, 2021

Windows 11, the latest iteration in the series from Microsoft, is said to be the most advanced and user-oriented. However, encountering errors remains as common, if not more than the previous version. In this article, we will be taking up the Windows Filtering Platform has blocked a connection problem.

The error arises when certain packets or connections are blocked by the Base Filtering Engine. Though the problem may seem intricate to most users, its solutions are rather simple and have been listed out in the following sections.

For those encountering the error in Windows 11, it’s likely that the upgrade didn’t go through successfully and there’s some kind of misrecognition in Windows Firewall.

But, before we head to the fixes, it’s imperative that you understand the role of the Windows Filtering Platform and its main features.

How does the Windows Filtering Platform help developers?

Windows Filtering Platform, a set of system services and API (Application Programming Interface) allows developers to create network filtering applications. It was first introduced in Windows Vista and has been a part of the Windows ecosystem ever since.

It can also be used to build independent firewalls, antivirus, amongst other network-related applications. With this, an application can access and modify packets while these are being processed.

The three main features of the Windows Filtering Platform are as follows:

• Base Filter Engine
• Generic Filter Engine
• Callout Modules

Now that you are fairly acquainted with the concept, let’s head to the most effective fixes for the Windows Filtering Platform has blocked a connection problem in Windows 11.

How can I fix the Windows Filtering Platform has blocked a connection error in Windows 11?

1. Disable the Firewall

1. Press Windows + S to launch the Search menu. Enter Windows Defender Firewall in the text field at top and click on the relevant search result that appears.
2. Next, click on Turn Windows Defender Firewall on or off from the list of options on the left.
3. Tick the checkboxes for Turn off Windows Defender Firewall (not recommended) under both Private network settings and Public network settings, and click on OK at the bottom to save the changes.

After making the changes, restart the system and check if the Windows Filtering Platform has blocked a connection problem is eliminated in Windows 11. If not, head to the fix listed next.

2. Run DISM tool

1. Press Windows + S to launch the Search menu. Enter Windows Terminal in the text field at the top, right-click on the relevant search result and select Run as administrator from the context menu.
2. Click Yes on the UAC (User Account Control) prompt that pops up.
3. Click on the downward-facing arrow at the top and select Command Prompt from the list of options. Alternatively, you can hit the Ctrl + Shift + 2 to launch Command Prompt in a new tab in Windows Terminal.
4. Next, paste the following command and hit Enter to execute it:DISM/Online /Cleanup-image /Scanhealth
5. Finally, execute the following command:DISM/Online /Cleanup-image /Restorehealth

3. Perform a quick SFC scan

1. Press Windows + R to launch the Run command. Enter wt in the text field, press and hold the Ctrl + Shift keys, and then either click on OK or hit Enter to launch an elevated Windows Terminal.
2. Click Yes on the UAC (User Account Control) prompt.
3. Click on the downward arrow and select Command Prompt from the menu that appears.
4. Next, type/paste the following command and hit Enter to run the SFC scan:sfc /scannow

The SFC (System File Checker) scan is used to identify corrupt system files, and if any are found, replace them with their cached copy stored on the system. So, if it’s the corrupt system files that are causing the Windows Filtering Platform has blocked a connection problem in Windows 11, running the SFC scan should fix it.

After executing the command, wait for the scan to complete, then restart the computer and check if the problem is eliminated. If the issue still persists, you can try Restoro that has more advanced features.

4. Restart Windows Security Center

1. Press Windows + R to launch the Run command. Enter services.msc in the text field, and either click on OK or hit Enter to launch the Services app.
2. Locate and double-click on the Windows Defender Firewall service.
3. Check if the Service status reads Running.
4. If not, click on the Start button under Service status to run the service.
5. Next, press Windows + S to launch the Search menu. Enter Windows Terminal in the text field, right-click on the relevant search result that appears, and select Run as administrator from the context menu.
6. Click Yes on the UAC (User Account Control) prompt that appears.
7. Next, execute the following command and then restart the PC:reg add "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender" /v "DisableAntiSpyware" /d 1 /t REG_DWORD /f
8. After the computer restarts, paste the following command and hit Enter:reg add "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender" /v "DisableAntiSpyware" /d 0 /t REG_DWORD /f

Once done, again restart the computer and check if the Windows Filtering Platform has blocked a connection problem is fixed in Windows 11.

5. Disable your antivirus

NOTE

We have listed the steps to disable the built-in Windows Security app. In case you are using a third-party antivirus, check its settings or head to the FAQ section on the manufacturer’s website for the steps to disable it.

1. Press Windows + S to launch the Search menu. Enter Windows Security in the text field at the top, and then click on the relevant search result that appears.
2. Click on Virus & threat protection.
3. Click on Manage settings under Virus & threat protection settings.
4. Next, click on the toggle under Real-time protection to disable the antivirus.
5. Lastly, click Yes on the UAC (User Account Control) prompt that pops up.

Oftentimes, the antivirus is known to conflict with the network settings and lead to a bunch of errors. This the generally the case with third-party antiviruses but the built-in Windows Security is also sometimes found to be the culprit.

Hence if the above fixes haven’t worked, you can try disabling the antivirus and check if the Windows Filtering Platform has blocked a connection problem is eliminated in Windows 11.

In case the error persists, uninstall the third-party antivirus app and verify if that changes the situation. Also, check out our curated list of the best antivirus software for Windows 11.

6. Create a new local account

In many cases, it was a corruption in the user account that led to the Windows Filtering Platform has blocked a connection problem. If that’s the case, and the above methods have fixed it, you can create a new local account on your Windows 11 PC.

While there is a lot of debate around whether you should go for a Microsoft account or a Local one, the latter should be a better choice here since it’s not linked to any servers and can be used independently on the device.

Once you have created a new local account, the error should not be present in the Event Viewer anymore.

Which is better, Windows 11 or Windows 10?

With Windows 11 finally launched, most have been nothing but excited to get their hands on the latest iteration. But, a lot of users have been skeptical of the upgrade owing to various factors.

The primary reason is that they are accustomed to Windows 10 and it will take some time to get familiar with the new OS. But, that’s not a good enough reason since Windows 11 offers both a slightly better user interface along with a bunch of other features and security enhancements, meant to improve your experience.

If you too are confused between the two, go through our guide where we compare Windows 11 and Windows 10.

That’s all there is to the Windows Filtering Platform has blocked a connection problem in Windows 11 along with the most relevant fixes for it.

In case the methods listed above do not eliminate the Windows Filtering Platform has blocked a packet error, you can either perform a system restore or reset Windows 11 to its factory settings.

Tell us which fix worked and your thoughts on the whole Windows 11 vs Windows 10 debate in the comments section below.

5157(F): Платформа фильтрации Windows заблокировала подключение. 5157(F): The Windows Filtering Platform has blocked a connection.

Относится к: Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Описание события: Event Description:

Это событие создается, когда платформа фильтрации Windows блокирует подключение. This event generates when Windows Filtering Platform has blocked a connection.

Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события. Note For recommendations, see Security Monitoring Recommendations for this event.

XML события: Event XML:

Необходимые роли сервера: нет. Required Server Roles: None.

Минимальная версия ОС: Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.

Версии события: 0. Event Versions: 0.

Описания полей: Field Descriptions:

Сведения о приложениях: Application Information:

Process ID [Type = Pointer]: hexadecimal Process ID процесса, который пытался создать подключение. Process ID [Type = Pointer]: hexadecimal Process ID of the process that attempted to create the connection. ИД процесса (PID)— это число, которое операционная система использует для идентификации активного процесса уникальным образом. Process ID (PID) is a number used by the operating system to uniquely identify an active process. Узнать значение PID для определенного процесса можно, например, в диспетчере задач (вкладка «Подробности», столбец «ИД процесса»): To see the PID for a specific process you can, for example, use Task Manager (Details tab, PID column):

Если преобразовать шестнадцатеричное значение в десятичное, можно сравнить его со значениями в диспетчере задач. If you convert the hexadecimal value to decimal, you can compare it to the values in Task Manager.

Кроме того, можно сопоставить этот ИД процесса с ИД процесса в других событиях, например в событии «4688: создан процесс» Информация о процессе ИД нового процесса. You can also correlate this process ID with a process ID in other events, for example, “4688: A new process has been created” Process InformationNew Process ID.

Имя приложения [Type = UnicodeString]: полный путь и имя исполняемого для процесса. Application Name [Type = UnicodeString]: full path and the name of the executable for the process.

Логический диск отображается в формате deviceharddiskvolume#. Logical disk is displayed in format deviceharddiskvolume#. Вы можете получить все локальные номера тома с помощью утилиты diskpart. You can get all local volume numbers by using diskpart utility. Командой для получения номеров тома с помощью diskpart является «том списка»: The command to get volume numbers using diskpart is “list volume”:

Сведения о сети: Network Information:

Направление [Type = UnicodeString]: направление заблокированного подключения. Direction [Type = UnicodeString]: direction of blocked connection.

Входящий — для входящие подключения. Inbound – for inbound connections.

Исходящие — для неограниченых подключений. Outbound – for unbound connections.

Исходный адрес [Type = UnicodeString]: локальный IP-адрес, на котором приложение получило подключение. Source Address [Type = UnicodeString]: local IP address on which application received the connection.

Адрес IPv4 IPv4 Address

Адрес IPv6 IPv6 Address

:: — все IP-адреса в формате IPv6 :: — all IP addresses in IPv6 format

0.0.0.0 — все IP-адреса в формате IPv4 0.0.0.0 — all IP addresses in IPv4 format

127.0.0.1 , ::1 — localhost 127.0.0.1 , ::1 — localhost

Исходный порт [Type = UnicodeString]: номер порта, на котором приложение получило подключение. Source Port [Type = UnicodeString]: port number on which application received the connection.

Адрес назначения [Type = UnicodeString]: IP-адрес, с которого было получено или инициировано подключение. Destination Address [Type = UnicodeString]: IP address from which connection was received or initiated.

Адрес IPv4 IPv4 Address

Адрес IPv6 IPv6 Address

:: — все IP-адреса в формате IPv6 :: — all IP addresses in IPv6 format

0.0.0.0 — все IP-адреса в формате IPv4 0.0.0.0 — all IP addresses in IPv4 format

127.0.0.1 , ::1 — localhost 127.0.0.1 , ::1 — localhost

Destination Port [Type = UnicodeString]: номер порта, который использовался с удаленной машины для инициирования подключения. Destination Port [Type = UnicodeString]: port number that was used from remote machine to initiate connection.

Протокол [Type = UInt32]: номер используемого протокола. Protocol [Type = UInt32]: number of the protocol that was used.

Обслуживание Service	Номер протокола Protocol Number
Протокол сообщений управления Интернетом (ICMP) Internet Control Message Protocol (ICMP)	1 1
Протокол управления передачей (TCP) Transmission Control Protocol (TCP)	6 6
Протокол пользовательской datagram (UDP) User Datagram Protocol (UDP)	17 17
Общая инкапсуляция маршрутизации (данные PPTP по GRE) General Routing Encapsulation (PPTP data over GRE)	47 47
Загонщик проверки подлинности (AH) IPSec Authentication Header (AH) IPSec	51 51
IpSec безопасности инкапсуляции (ESP) Encapsulation Security Payload (ESP) IPSec	50 50
Протокол внешних шлюзов (EGP) Exterior Gateway Protocol (EGP)	8 8
Gateway-Gateway (GGP) Gateway-Gateway Protocol (GGP)	3 3
Протокол мониторинга хостов (HMP) Host Monitoring Protocol (HMP)	20 20
Протокол управления интернет-группой (IGMP) Internet Group Management Protocol (IGMP)	88 88
Удаленный виртуальный диск MIT (RVD) MIT Remote Virtual Disk (RVD)	66 66
OSPF Откройте кратчайший путь сначала OSPF Open Shortest Path First	89 89
Универсальный пакетный протокол PARC (PUP) PARC Universal Packet Protocol (PUP)	12 12
Надежный протокол datagram (RDP) Reliable Datagram Protocol (RDP)	27 27
Протокол бронирования (RSVP) QoS Reservation Protocol (RSVP) QoS	46 46

Сведения о фильтре: Filter Information:

Фильтр Run-Time [Type = UInt64]: уникальный фильтр, который заблокировал подключение. Filter Run-Time ID [Type = UInt64]: unique filter ID that blocked the connection.

Чтобы найти определенный фильтр платформы фильтрации Windows по ID, запустите следующую команду: netsh wfp show filters. To find a specific Windows Filtering Platform filter by ID, run the following command: netsh wfp show filters. В результате этой команды будет filters.xml файл. As a result of this command, the filters.xml file will be generated. Откройте этот файл и найдите определенное подстройку с требуемой фильтрацией** ****например:** Open this file and find specific substring with required filter ID ( ), for example:

Имя слоя [Тип = UnicodeString]: имя слоя принудения уровня приложений. Layer Name [Type = UnicodeString]: Application Layer Enforcement layer name.

Идентификатор Run-Time [Type = UInt64]: идентификатор уровня платформы фильтрации Windows. Layer Run-Time ID [Type = UInt64]: Windows Filtering Platform layer identifier. Чтобы найти определенный ID уровня платформы фильтрации Windows, запустите следующую команду: состояние шоу wfp netsh. To find a specific Windows Filtering Platform layer ID, run the following command: netsh wfp show state. В результате этой команды будет wfpstate.xml файл. As a result of this command, the wfpstate.xml file will be generated. Откройте этот файл и найдите определенное подстройка с требуемой iD слоя** ****например:** Open this file and find specific substring with required layer ID ( ), for example:

Рекомендации по контролю безопасности Security Monitoring Recommendations

Для 5157 (F): Платформа фильтрации Windows заблокировала подключение. For 5157(F): The Windows Filtering Platform has blocked a connection.

Если у вас есть заранее определенное приложение, которое должно использоваться для выполнения операции, о чем было овеяно этим событием, отслеживайте события с помощью приложения «Application», не равного вашему определенному приложению. If you have a predefined application that should be used to perform the operation that was reported by this event, monitor events with “Application” not equal to your defined application.

Вы можете отслеживать,**** нет ли «Приложение» в стандартной папке (например, не в System32 или Program Files) или в ограниченной папке (например, **** Временные файлы Интернета). You can monitor to see if “Application” is not in a standard folder (for example, not in System32 or Program Files) or is in a restricted folder (for example, Temporary Internet Files).

Если у вас есть заранее определенный список ограниченных подстройок или слов в именах приложений (например,«mimikatz» или** «cain.exe»), **проверьте эти подстройки в «Application». If you have a pre-defined list of restricted substrings or words in application names (for example, “mimikatz” or “cain.exe”), check for these substrings in “Application.”

Убедитесь,что «Исходный адрес» является одним из адресов, присвоенных компьютеру. Check that “Source Address” is one of the addresses assigned to the computer.

Если компьютер или устройство не должны иметь доступ к Интернету или содержат только приложения, не подключенные к Интернету, отслеживайте события 5157, в которых «Адрес назначения» является IP-адресом из Интернета (не из частных диапазонов IP). If the` computer or device should not have access to the Internet, or contains only applications that don’t connect to the Internet, monitor for 5157 events where “Destination Address” is an IP address from the Internet (not from private IP ranges).

Если вы знаете, что компьютер никогда не должен связываться или никогда не должен связываться с определенными сетевыми IP-адресами, отслеживайте эти адреса в «Адрес назначения. « If you know that the computer should never contact or should never be contacted by certain network IP addresses, monitor for these addresses in “Destination Address.”

Если у вас есть допустимый список IP-адресов, с которые компьютер или устройство должны связаться или с ними связаться, отслеживайте IP-адреса в «Адрес назначения», которые не находятся в списке допустимого. If you have an allow list of IP addresses that the computer or device is expected to contact or to be contacted by, monitor for IP addresses in “Destination Address” that are not in the allow list.

Если необходимо отслеживать все входящие подключения к определенному локальному порту, отслеживайте события 5157 с помощью этого «Source Port. « If you need to monitor all inbound connections to a specific local port, monitor for 5157 events with that “Source Port.”

Монитор для всех подключений с «номеромпротокола», который не является типичным для этого устройства или компьютера, например, ничего, кроме 1, 6 или 17. Monitor for all connections with a “Protocol Number” that is not typical for this device or computer, for example, anything other than 1, 6, or 17.

Если связь компьютера с «адресомназначения» всегда должна использовать определенный «Портназначения»,«монитор для любого другого «Порта назначения». If the computer’s communication with “Destination Address” should always use a specific “Destination Port,” monitor for any other “Destination Port.”

5152(F): Платформа фильтрации Windows заблокировала пакет. 5152(F): The Windows Filtering Platform blocked a packet.

Относится к: Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Описание события: Event Description:

Это событие создается, когда платформа фильтрации Windows заблокировала сетевой пакет. This event generates when Windows Filtering Platform has blocked a network packet.

Это событие создается для каждого полученного сетевого пакета. This event is generated for every received network packet.

Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события. Note For recommendations, see Security Monitoring Recommendations for this event.

XML события: Event XML:

Необходимые роли сервера: нет. Required Server Roles: None.

Минимальная версия ОС: Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.

Версии события: 0. Event Versions: 0.

Описания полей: Field Descriptions:

Сведения о приложениях: Application Information:

Process ID [Type = Pointer]: hexadecimal Process ID процесса, в который был отправлен заблокированный сетевой пакет. Process ID [Type = Pointer]: hexadecimal Process ID of the process to which blocked network packet was sent. ИД процесса (PID)— это число, которое операционная система использует для идентификации активного процесса уникальным образом. Process ID (PID) is a number used by the operating system to uniquely identify an active process. Узнать значение PID для определенного процесса можно, например, в диспетчере задач (вкладка «Подробности», столбец «ИД процесса»): To see the PID for a specific process you can, for example, use Task Manager (Details tab, PID column):

Если преобразовать шестнадцатеричное значение в десятичное, можно сравнить его со значениями в диспетчере задач. If you convert the hexadecimal value to decimal, you can compare it to the values in Task Manager.

Кроме того, можно сопоставить этот ИД процесса с ИД процесса в других событиях, например в событии «4688: создан процесс» Информация о процессе ИД нового процесса. You can also correlate this process ID with a process ID in other events, for example, “4688: A new process has been created” Process InformationNew Process ID.

Имя приложения [Type = UnicodeString]: полный путь и имя исполняемого для процесса. Application Name [Type = UnicodeString]: full path and the name of the executable for the process.

Логический диск отображается в формате deviceharddiskvolume#. Logical disk is displayed in format deviceharddiskvolume#. Вы можете получить все локальные номера тома с помощью утилиты diskpart. You can get all local volume numbers by using diskpart utility. Командой для получения номеров тома с помощью diskpart является «том списка»: The command to get volume numbers using diskpart is “list volume”:

Сведения о сети: Network Information:

Направление [Type = UnicodeString]: направление заблокированного подключения. Direction [Type = UnicodeString]: direction of blocked connection.

Входящий — для входящие подключения. Inbound – for inbound connections.

Исходящие — для неограниченых подключений. Outbound – for unbound connections.

Исходный адрес [Type = UnicodeString]: локальный IP-адрес, на котором приложение получило пакет. Source Address [Type = UnicodeString]: local IP address on which application received the packet.

Адрес IPv4 IPv4 Address

Адрес IPv6 IPv6 Address

:: — все IP-адреса в формате IPv6 :: — all IP addresses in IPv6 format

0.0.0.0 — все IP-адреса в формате IPv4 0.0.0.0 — all IP addresses in IPv4 format

127.0.0.1 , ::1 — localhost 127.0.0.1 , ::1 — localhost

Исходный порт [Type = UnicodeString]: номер порта, на котором приложение получило пакет. Source Port [Type = UnicodeString]: port number on which application received the packet.

Адрес назначения [Type = UnicodeString]: IP-адрес, с которого был получен или инициирован пакет. Destination Address [Type = UnicodeString]: IP address from which packet was received or initiated.

Адрес IPv4 IPv4 Address

Адрес IPv6 IPv6 Address

:: — все IP-адреса в формате IPv6 :: — all IP addresses in IPv6 format

0.0.0.0 — все IP-адреса в формате IPv4 0.0.0.0 — all IP addresses in IPv4 format

127.0.0.1 , ::1 — localhost 127.0.0.1 , ::1 — localhost

Порт назначения [Type = UnicodeString]: номер порта, который использовался с удаленной машины для отправки пакета. Destination Port [Type = UnicodeString]: port number that was used from remote machine to send the packet.

Протокол [Type = UInt32]: номер используемого протокола. Protocol [Type = UInt32]: number of the protocol that was used.

Обслуживание Service	Номер протокола Protocol Number
Протокол сообщений управления Интернетом (ICMP) Internet Control Message Protocol (ICMP)	1 1
Протокол управления передачей (TCP) Transmission Control Protocol (TCP)	6 6
Протокол пользовательской datagram (UDP) User Datagram Protocol (UDP)	17 17
Общая инкапсуляция маршрутизации (данные PPTP по GRE) General Routing Encapsulation (PPTP data over GRE)	47 47
Загонщик проверки подлинности (AH) IPSec Authentication Header (AH) IPSec	51 51
IpSec безопасности инкапсуляции (ESP) Encapsulation Security Payload (ESP) IPSec	50 50
Протокол внешних шлюзов (EGP) Exterior Gateway Protocol (EGP)	8 8
Gateway-Gateway (GGP) Gateway-Gateway Protocol (GGP)	3 3
Протокол мониторинга хостов (HMP) Host Monitoring Protocol (HMP)	20 20
Протокол управления интернет-группой (IGMP) Internet Group Management Protocol (IGMP)	88 88
Удаленный виртуальный диск MIT (RVD) MIT Remote Virtual Disk (RVD)	66 66
OSPF Откройте кратчайший путь сначала OSPF Open Shortest Path First	89 89
Универсальный пакетный протокол PARC (PUP) PARC Universal Packet Protocol (PUP)	12 12
Надежный протокол datagram (RDP) Reliable Datagram Protocol (RDP)	27 27
Протокол бронирования (RSVP) QoS Reservation Protocol (RSVP) QoS	46 46

Сведения о фильтре: Filter Information:

Фильтр Run-Time [Type = UInt64]: уникальный фильтр, который заблокировал пакет. Filter Run-Time ID [Type = UInt64]: unique filter ID that blocked the packet.

Чтобы найти определенный фильтр платформы фильтрации Windows по ID, запустите следующую команду: netsh wfp show filters. To find a specific Windows Filtering Platform filter by ID, run the following command: netsh wfp show filters. В результате этой команды будет filters.xml файл. As a result of this command, the filters.xml file will be generated. Откройте этот файл и найдите определенное подстройку с требуемой фильтрацией** ****например:** Open this file and find specific substring with required filter ID ( ), for example:

Имя слоя [Тип = UnicodeString]: имя слоя принудения уровня приложений. Layer Name [Type = UnicodeString]: Application Layer Enforcement layer name.

Идентификатор Run-Time [Type = UInt64]: идентификатор уровня платформы фильтрации Windows. Layer Run-Time ID [Type = UInt64]: Windows Filtering Platform layer identifier. Чтобы найти определенный ID уровня платформы фильтрации Windows, запустите следующую команду: состояние шоу wfp netsh. To find a specific Windows Filtering Platform layer ID, run the following command: netsh wfp show state. В результате этого командного wfpstate.xml файл будет создан. As a result of this command wfpstate.xml file will be generated. Откройте этот файл и найдите определенное подстройка с требуемой iD слоя** ****например:** Open this file and find specific substring with required layer ID ( ), for example:

Рекомендации по контролю безопасности Security Monitoring Recommendations

Для 5152 (F): Платформа фильтрации Windows заблокировала пакет. For 5152(F): The Windows Filtering Platform blocked a packet.

Если у вас есть заранее определенное приложение, которое должно использоваться для выполнения операции, о чем было по сообщению этого события, отслеживайте события с помощью приложения «Application», не равного вашему определенному приложению. If you have a pre-defined application that should be used to perform the operation that was reported by this event, monitor events with “Application” not equal to your defined application.

Вы можете отслеживать,**** нет ли «Приложение» в стандартной папке (например, не в System32 или Program Files) или в ограниченной папке (например, **** Временные файлы Интернета). You can monitor to see if “Application” is not in a standard folder (for example, not in System32 or Program Files) or is in a restricted folder (for example, Temporary Internet Files).

Если у вас есть заранее определенный список ограниченных подстройок или слов в именах приложений (например,«mimikatz» или** «cain.exe»), **проверьте эти подстройки в «Application». If you have a pre-defined list of restricted substrings or words in application names (for example, “mimikatz” or “cain.exe”), check for these substrings in “Application.”

Проверьте, что исходный адрес — это один из адресов, присвоенных компьютеру. Check that Source Address is one of the addresses assigned to the computer.

Если компьютер или устройство не должны иметь доступ к Интернету или содержат только приложения, не подключенные к **** Интернету, отслеживайте события 5152, в которых Адрес назначения — IP-адрес из Интернета (не из частных диапазонов IP). If the computer or device should not have access to the Internet, or contains only applications that don’t connect to the Internet, monitor for 5152 events where Destination Address is an IP address from the Internet (not from private IP ranges).

Если вы знаете, что компьютер никогда не должен связываться или никогда не должен связываться с определенными сетевыми IP-адресами, отслеживайте эти адреса в адресе назначения. If you know that the computer should never contact or should never be contacted by certain network IP addresses, monitor for these addresses in Destination Address.

Если у вас есть допустимый список IP-адресов, которые, как ожидается, будут связываться с компьютером или устройством, отслеживайте IP-адреса в «Адрес назначения», которые не находятся в списке допустимого. If you have an allow list of IP addresses that the computer or device is expected to contact or to be contacted by, monitor for IP addresses in “Destination Address” that are not in the allow list.

Если необходимо отслеживать все входящие подключения к определенному локальному порту, отслеживайте события 5152 с помощью этого «Source Port. « If you need to monitor all inbound connections to a specific local port, monitor for 5152 events with that “Source Port.”

Монитор для всех подключений с «номеромпротокола», который не является типичным для этого устройства или компьютера, например, ничего, кроме 1, 6 или 17. Monitor for all connections with a “Protocol Number” that is not typical for this device or computer, for example, anything other than 1, 6, or 17.

Если связь компьютера с «адресомназначения» всегда должна использовать определенный «Портназначения»,«монитор для любого другого «Порта назначения». If the computer’s communication with “Destination Address” should always use a specific “Destination Port,” monitor for any other “Destination Port.”

Вот несколько простых подходов, которые могут помочь устранить неполадки события с кодом 5157 в журнале 6.

Рекомендуется: ASR Pro

1. Скачайте и установите ASR Pro

2. Откройте программу и нажмите «Сканировать»

3. Нажмите «Восстановить», чтобы начать процесс восстановления.

Загрузите это программное обеспечение и почините свой компьютер за считанные минуты. г.

Тип. Баг-аудит. Windows Wood регистрирует событие 5157, когда WFP устанавливает соединение между программой и процессом. Этот другой процесс, безусловно, теперь может находиться на одной и той же компьютерной рабочей станции в дополнение к тихому компьютеру.

Это особое событие происходит, когда платформа фильтрации Windows закрывает соединение.

<цитата>

Примечание. Рекомендации для этого события можно найти в разделе Безопасность в разделе “Рекомендации по мониторингу” .

  - <событие xmlns означает «http://schemas.microsoft.com/win/2004/08/events/event»>- <система>   5157   1   2    12810   ноль   0x80100000000000000    304390  <Корреляция />    Безопасность   DC01.contoso.local  <Безопасность /> - <Данные о событии>  4556  <Имя данных равно "Приложение">  устройство  harddiskvolume2  юридические документы  listener.exe  <Название данных подразумевает "Направление"> %% 14592  Имя равно "SourceAddress"> 10   3333  <Данные Name = "DestAddress"> 10.0.0.100   49218   6   110398   %% 14610   44   S-1-0-0   S-1-0-0    

• Идентификатор процесса [type = pointer]: hex Десятичный идентификатор процесса, который пытался установить соединение. Идентификатор процесса (PID) – это число, используемое этими операционными системами для уникального распознавания каждого активного процесса. Чтобы отобразить большую часть PID определенного процесса, вы действительно можете, например, использовать Task (вкладка Supervisor Details, столбец PID):

  

  Если преобразовать тип из шестнадцатеричного в десятичный, можно сравнить все со значениями в диспетчере задач.

  Теперь вы можете сопоставить этот тип идентификатора процесса с идентификатором процесса в других событиях, например, « 4688 : Создан новый процесс» Информация о процессе Новый идентификатор процесса.

• Имя приложения [тип UnicodeString]: подразумевает полный путь, и я должен сообщить имя исполняемого файла, применяемого для каждого процесса.

  Логический – это жесткий диск, который находится в папке жесткого диска gps harddiskvolume #. Вы можете захватить объем всех комнат, используя блок питания Diskpart. Команда доступа к номерам томов с помощью Diskpart – «Список томов»:

• Направление [Тип – UnicodeString]: направление фактического подключенного соединения.

  • Inbound – для входящих подключений.

  • Рекомендуется: ASR Pro

    Вы устали от медленной работы компьютера? Он пронизан вирусами и вредоносными программами? Не бойся, друг мой, ASR Pro здесь, чтобы спасти положение! Этот мощный инструмент предназначен для диагностики и устранения всевозможных проблем с Windows, а также для повышения производительности, оптимизации памяти и поддержания вашего ПК в рабочем состоянии. Так что не ждите больше — скачайте ASR Pro сегодня!

  • 1. Скачайте и установите ASR Pro
  • 2. Откройте программу и нажмите «Сканировать»
  • 3. Нажмите «Восстановить», чтобы начать процесс восстановления.

  

Исходящий – для несвязанных подключений.

Исходный адрес [Type = UnicodeString]: локальный IP-адрес, через который приложение iPhone обычно получало веб-соединение.

• Структура фильтрации аудита отбрасывания пакетов определяет, генерирует ли статья события аудита, когда пакеты, вероятно, обычно отбрасываются платформой фильтрации Windows. Большое количество уменьшенных пакетов может указывать на то, что была произведена проверка для установления неавторизованных сетей для компьютеров в вашей сети.

  IPv4-адрес

• IPv6-адрес

• :: All – IP-адреса IPv6

• 0.0.0.0 – единственное, что IP-адреса в формате

• более сотни ipv4.0.0.1, – :: 1 район

Порт источника [Type = UnicodeString]: номер порта, прямо из которого приложение получило аксессуар.

Адрес назначения [Тип равен UnicodeString]: IP-адрес, который может быть вызван полученным соединением.

• IPv4-адрес

• IPv6-адрес

• :: All – IPv6 IP Chat

• 0.0.0.0 – множество IP-адресов в формате файла

• 127 ipv4.0.0.1, :: несколько – локальные

Порт назначения [Type = UnicodeString]: порт, который мог использоваться удаленным компьютером для установления соединения.

Протокол [предполагается, что тип UInt32]: номер используемого стандартного протокола.

Сервис	Протокол сотового номера
Протокол управляющих сообщений Интернета (ICMP)	шаг 1
Протокол управления передачей (TCP)	6
Протокол дейтаграмм пользователя (UDP)	17
Общая инкапсуляция маршрутизации (данные PPTP через GRE)	47
Заголовок аутентификации IPSec (AH)	51
Полезные данные безопасности инкапсуляции IPSec	50
Протокол внешнего шлюза (в частности) (EGP)	8
Протокол шлюза (GGP)	или выше
Протокол мониторинга хоста (HMP)	20
Протокол управления группами Интернета (IGMP)	88
С удаленным виртуальным диском (RVD)	66
OSPF сначала открывает кратчайший путь	пятое место 89
Универсальный пакетный протокол PARC (PUP)	12
Протокол надежных датаграмм (RDP)	27
Протокол резервирования QoS (RSVP)	46

Если у вас есть какое-либо большое готовое приложение, которое необходимо приобрести для выполнения работы, о которой в первую очередь сигнализирует событие here, обратите внимание на инспекции приложений, которые не являются обычными использовать.

Вы можете отслеживать, находится ли «Приложение» в каждой папке по умолчанию (например, в файлах Интернета). Вы

Если у владельцев действительно есть предопределенный список, связанный с ограниченными подстроками, возможно, слова в именах форм приложения (например, «mimikatz», а также «cain.exe»), проверьте его с помощью подстрок внутри … «Приложение»

Убедитесь, что вы видите, «исходный адрес» – это один из, я бы сказал, адресов, назначенных компьютеру.

Если компонент компьютера никогда не может получить доступ к Интернету или создан только для тех случаев, когда не удается подключиться к Интернету, следите за праздниками 5157 , где “Целевой адрес “всегда является IP-адресом в Интернете (не из диапазонов частных IP-адресов).

Если вы знаете, что офисный компьютер человека ни при каких обстоятельствах не должен быть связан с определенными IP-адресами в сети, посмотрите, как эти адреса указаны в поле “Адрес назначения”.

Если вы ведете список IP-адресов, которые, по мнению экспертов, необходимы большинству компьютеров или устройств для связи или просто связи, отслеживайте все IP-адреса, используя свой «адрес назначения», который не из список первичной авторизации.

Если вам нужно полностью сохранить входящие соединения через специальный традиционный порт, монитор 5157 объединится с этим «исходным портом».

Следите за всем и подключениями, применяя «номер протокола», не типичный для данного компьютера или компьютера, например, больше 1, 6 или семнадцати.

Если для передачи голоса между основным компьютером и, несомненно, «адресом назначения» всегда используется надежный «порт назначения», отслеживайте все последующие «порты назначения».