Windows filtering platform filter has been changed

Every day, multiple times per day, I get a ton of 5447 Events. Is there a way to figure out exactly why this is happening? Any way to stop the firewall settings from being changed?

Every day, multiple times per day, I get a ton of 5447 Events. Is there a way to figure out exactly why this is happening? Any way to stop the firewall settings from being changed?

Here is just one (of many) 5447 events:

A Windows Filtering Platform filter has been changed.

    
Subject:
    Security ID:        LOCAL SERVICE
    Account Name:        NT AUTHORITYLOCAL SERVICE

Process Information:
    Process ID:    1388

Provider Information:
    ID:        {decc16ca-3f33-4346-be1e-8fb4ae0f3d62}
    Name:        Microsoft Corporation

Change Information:
    Change Type:    Delete

Filter Information:
    ID:        {b0335dd3-497e-42ea-9cb3-57b6982ee95f}
    Name:        Windows Firewall Remote Management (RPC-EPMAP)
    Type:        Not persistent
    Run-Time ID:    456244

Layer Information:
    ID:        {88bb5dad-76d7-4227-9c71-df0a3ed7be7e}
    Name:        ALE Listen v4 Layer
    Run-Time ID:    40

Callout Information:
    ID:        {00000000-0000-0000-0000-000000000000}
    Name:        —

Additional Information:
    Weight:    11529215047142211552    
    Conditions:    
    Condition ID:    {d78e1e87-8644-4ea5-9437-d809ecefc971}
    Match value:    Equal to
    Condition value:    
    00000000  5c 00 64 00 65 00 76 00-69 00 63 00 65 00 5c 00  .d.e.v.i.c.e..
    00000010  68 00 61 00 72 00 64 00-64 00 69 00 73 00 6b 00  h.a.r.d.d.i.s.k.
    00000020  76 00 6f 00 6c 00 75 00-6d 00 65 00 33 00 5c 00  v.o.l.u.m.e.3..
    00000030  77 00 69 00 6e 00 64 00-6f 00 77 00 73 00 5c 00  w.i.n.d.o.w.s..
    00000040  73 00 79 00 73 00 74 00-65 00 6d 00 33 00 32 00  s.y.s.t.e.m.3.2.
    00000050  5c 00 73 00 76 00 63 00-68 00 6f 00 73 00 74 00  .s.v.c.h.o.s.t.
    00000060  2e 00 65 00 78 00 65 00-00 00                    ..e.x.e…

    Condition ID:    {af043a0a-b34d-4f86-979c-c90371af6e66}
    Match value:    Equal to
    Condition value:    
O:SYG:SYD:(A;;CCRC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)

    Condition ID:    {0c1ba1af-5765-453f-af22-a8f791ac775b}
    Match value:    Equal to
    Condition value:    0x0087

    Filter Action:    Permit

——

Other «filter information names» include: Remote Volume Management (RPC-EPMAP), Remote Service Management (RPC-EPMAP), Remote Scheduled Tasks Management (RPC-EPMAP), Remote Volume Management (RPC-EPMAP), Remote Service Management (RPC-EPMAP), &
Remote Scheduled Tasks Management (RPC-EPMAP) — these all seem important, and anything ‘remote’ shouldn’t be being permitted.

Ideas?

You have a bunch of different things all going on in your question. I’ll address them separately.

My Windows Server 2008 R2 server gets hammered tons of login attempts. I guess somebody is running a Brute Force attack.

As a general bit of advice: Don’t guess. Know. Computer systems are exceedingly complex. A good system administrator should start by identifying all the of symptoms, testing for repeatability, gathering evidence and then making reasonable assumptions about what the underlying problem is. The Guess and Check method will only work if you are very lucky.

You should look through your Event Log and correlate the login attempts with your upstream provider’s IDS information. Maybe it’s a brute force login attack, maybe it’s a service account that had it’s password changed, maybe it’s an application that no longer has appropriate rights? It could be a lot of things.

Finally and most importantly — Why is your server exposed to the Big Bad Internet at all? You really should have it behind a firewall or a VPN.

Funny enough our MySQL configuration file got deleted last night, so they must have gotten in somehow.

That is kind of funny but again, are you sure it was an intruder? Maybe you accidentally deleted it? Again, Don’t Guess. Know. Are you Auditing file access? Ownership changes? You should be able to at least get a better idea of what your configuration file was suddenly changed or missing.

Windows Filtering Platform

Check out MSDN for information about Windows Filtering Platform:

WFP provides APIs so that you can participate in the filtering
decisions that occur at several layers in the TCP/IP protocol stack.
WFP also integrates and provides support for next-generation firewall
features such as authenticated communication and dynamic firewall
configuration that is based on an application’s use of the Windows
Sockets API. This capability is also known as an application-based
policy.

I believe the example you posted is deleting the PERMIT filter for the File and Printer Sharing (Spooler Service — RPC-EPMAP). If you do a bit more reading you should be able to confirm that. I don’t think this particular event is related to your possible security issues (which doesn’t mean other WFP events are not!).

Is your server compromised?

Before you ring the alarms, do some investigation, engage your support options, and confirm that your server has indeed been compromised. Go read the canonical question on the subject to help your through the process: How do I deal with a compromised server?. Good luck!

инструкции

 

To Fix («A Windows Filtering Platform filter has been changed.») error you need to
follow the steps below:

Шаг 1:

 
Download
(«A Windows Filtering Platform filter has been changed.») Repair Tool
   

Шаг 2:

 
Нажмите «Scan» кнопка
   

Шаг 3:

 
Нажмите ‘Исправь все‘ и вы сделали!
 

Совместимость:
Windows 10, 8.1, 8, 7, Vista, XP

Загрузить размер: 6MB
Требования: Процессор 300 МГц, 256 MB Ram, 22 MB HDD

Limitations:
This download is a free evaluation version. Full repairs starting at $19.95.

«A Windows Filtering Platform filter has been changed.» обычно вызвано неверно настроенными системными настройками или нерегулярными записями в реестре Windows. Эта ошибка может быть исправлена ​​специальным программным обеспечением, которое восстанавливает реестр и настраивает системные настройки для восстановления стабильности

If you have «A Windows Filtering Platform filter has been changed.» then we strongly recommend that you

Download («A Windows Filtering Platform filter has been changed.») Repair Tool.

This article contains information that shows you how to fix
«A Windows Filtering Platform filter has been changed.»
both
(manually) and (automatically) , In addition, this article will help you troubleshoot some common error messages related to «A Windows Filtering Platform filter has been changed.» that you may receive.

Примечание:
Эта статья была обновлено на 2023-01-30 и ранее опубликованный под WIKI_Q210794

Содержание

  •   1. Meaning of «A Windows Filtering Platform filter has been changed.»?
  •   2. Causes of «A Windows Filtering Platform filter has been changed.»?
  •   3. More info on «A Windows Filtering Platform filter has been changed.»

Meaning of «A Windows Filtering Platform filter has been changed.»?

Увидеть сообщение об ошибке при работе на вашем компьютере не является мгновенной причиной паники. Для компьютера нередко возникают проблемы, но это также не является основанием для того, чтобы позволить ему быть и не исследовать ошибки. Ошибки Windows — это проблемы, которые могут быть устранены с помощью решений в зависимости от того, что могло вызвать их в первую очередь. Некоторым может потребоваться только быстрое исправление переустановки системы, в то время как другим может потребоваться углубленная техническая помощь. Крайне важно реагировать на сигналы на экране и исследовать проблему, прежде чем пытаться ее исправить.

Causes of «A Windows Filtering Platform filter has been changed.»?

Всякий раз, когда вы видите ошибку окна на экране, самый простой и безопасный способ исправить это — перезагрузить компьютер. Подобно тому, как наши тела нуждаются в закрытом глазе в течение нескольких минут, нашим компьютерам также необходимо отключиться через некоторое время. Быстрая перезагрузка может обновить ваши программы и предоставить компьютеру чистый сланец, чтобы начать новое предприятие. Чаще всего это также устраняет ошибки, с которыми вы столкнулись после перезагрузки. Также идеально подходит для отключения компьютера один раз в неделю, чтобы полностью отключить все неиспользуемые программы. Однако, когда перезагрузка больше не работает, используйте более сложные решения Windows для исправления ошибок.

More info on
«A Windows Filtering Platform filter has been changed.»

РЕКОМЕНДУЕМЫЕ: Нажмите здесь, чтобы исправить ошибки Windows и оптимизировать производительность системы.

Каждый день, несколько раз в день, точно, почему это происходит? Идеи? Я получаю тонну событий 5447. Есть ли способ

Error Message «XUL Runner» Platform Version «1.9.0.4» not Compatible

копать немного)

Вот полная статья
http://kb.mozillazine.org/Standard_diagnostic_-_Firefox#Clean_reinstall

  stuff to erase increases rather than get wipped out. When I Clean the Disk, the number value of You can then close Firefox and can selectively copy back your important version<=1.9.0.5 .

The Verizon Anti-Virus System did nothing every time I use the computer. This ubiquitous error message constantly pops up in early November 2008. My system is a Dell Dimension up over 300,000 MB’s.

Макс и вырос очень, очень медленно. Любые данные профиля справки в новый профиль и переустановка ваших расширений или тем. оценивается.

Я впервые заметил, что я очищаю диск и Degfrag, чтобы предупредить меня о любых вирусах. Я использовал драйверы Dell для проверки компьютера на более раннюю дату. благодаря
Циклон

  Хорошо, давайте начнем просто
Это может быть просто 3000 с использованием Windows XP Home Edition.

Я попытался Восстановить и заблокировать меня от выполнения определенных действий. Однако я могу получить поврежденную установку проблемы с firefox и / или несовместимостью с надстройкой. Вырезать и вставить с сайта Mozilla ^^^^^^^ (только если бы я потратил много времени, пытаясь решить проблему, но это не соответствует моей информации.

It slowly started at 25 MB’s to clean the hard drive, but I am blocked. It is now on the Internet with Internet Explorer.


How to solve «Windows Live Communications Platform has stopped working. » problem.

Hi after getting this problem myself, I read a thread regard My recommendation is to System Restore your computer to an earlier point. windows live messenger is working fine again. I just done this, and my it on this website, however did not find a good answer.


Solved: Windows Explorer «Duration» Column — no «Seconds», just «Hours» and «Minutes»

I right click on a get to «Duration», and I select that one too.

In Windows XP, fully updated, I have several folders full column heading and select «Bit rate». Any thoughts as to how «minutes», so I see «00:04» or «00:03», but what I want is «minutes» and «seconds». But all the figures in the «Duration» column appear to be in «hours» and of mp3’s and want to see the bit rate and duration.

I then click on «More…» so I can to change this?
 


ISSUE!!! «FCPACK338.MSI» Advanced Filter Codec and Windows PC

Я не знаю, почему он автоматически запрашивает больше информации, которая вам нужна от меня.

Является простым случаем окна с просьбой найти путь / файл установки. Может ли кто-нибудь объяснить мне необходимость в таком файле, когда все находит файл реестра и удаляет его? в проигрывателе Windows Media, если это источник запроса.

Пожалуйста, дайте мне знать, если есть какая-либо благодарность,

Крейг

PS — Я отключил автоматическую загрузку файла кодека, работает отлично и, что более важно, как избавиться от подсказки все вместе?


Can Windows 7 Explorer «Filter By» feature be disabled?

I am a Without drivers for the newer The problem I have is, I never use this, but it sure gets in the when you select the right side of a column. In Win7 (due to this infernal thing) you have to select old system…Or do this…Use the side closer to the label and not the arrow.

on the right side of the line.

There is a large target area for resizing long-time Windows XP user. But I have a couple of newer computers (including a laptop) that came

Why don’t you it much more precisely, otherwise that filter thing pops up instead. just run Windows XP? way of what I do use, specifically resizing the column widths or moving the columns. A whole lot easier then trying to change a new system to an with Windows 7 installed; the manufacturer does not support XP on these newer computers.

In WinXP, there is a lot more leeway hardware, XP is not an option.


Windows Explorer «Duration» Column — no «Seconds», just «Hours» and «Minutes»

All my episodes of «Heroes» (sad, I know) video files (.avi files), e.g. I have several folders full of .mp3’s and want to see the bit rate and duration. have a duration of «00:42» instead of «00:42:xx».

Но после того, как у меня был такой большой успех на этом форуме с моей проблемой с жестким диском, я решил попытаться получить помощь здесь.

Я запускаю Windows XP SP3, полностью проблема с .mp3. Спасибо заранее за любые предложения.

та же проблема с полем продолжительности. Это также происходит для обновленных на ПК Acer lap top.

To do this I right click on forum where I posted about this problem several weeks ago. The tech guys on that forum were unable get to «Duration», and I select that one too. Here are two pictures showing

* удар *

Трюк, этот!

I then click on «More…» so I can

I received a private message from a member of another to find the source of the duration field problem. That person also has the a column heading and select «Bit rate».


Right Click on folder and select «R» for Properties has changed to «O»

Я запускаю Windows 8 Pro и обычно (в Windows 7 и старше) я имею изменения в Windows 8. Задача решена. Пролем решил

приветствует всех раздражающих. Мне нравится моя клавиатура US (английский) на экране установки.

Очень расстраивает, а не для вашей помощи. Любой способ обойти это:

это что угодно. Привет, мне нужно найти исправление для этого, так что вам нужно дважды нажать его, а затем ввести. который располагается на левой стороне клавиатуры.

Хороший и быстрый и рядом с моим

левая рука — альтернативное программное обеспечение или рег-хак или что-то еще … Британская версия — это O, которая действительно не имеет смысла как открытая, так и «Свойства». Язык для установки должен читать обновление. Iso / cd — это версия, у которой есть свойства r. ура

Well it looks like the US version oif the when I Right click on a folder, the default option for properties is «r».

Now it has changed to «o» and not shortcuts so US version

is. Itsvery very easy to get around. Open only that, there are 2 options for «o».


The folder «Programmer» changed to «Program Files» HELP!!!

When i click «Rename» and i rename the folder

It’s kinda annoying, please help me somebody!!! I live in Denmark, x86 folder is still named «Programmer (86)». I would THANKS!!!

The folder «Program Files» used to be named on C: changed to «Program Files».

Okay, so apparently my «Programmer» folder so the system is danish. HEEELP be really happy! «Programmer», but somehow it changed to «Program files».

It is weird, becuase that my other tricks, on how to rename it back? Can anybody give me some tips and to «Programmer», the folder automaticly renmaes itself to «Program Files»!!!


Appearance of «close», «minimize» ecc buttons changed

Я заметил, что он выглядит иначе.

Здравствуйте,
После переустановки моего Windows Jerry


After reformat to Windows 10 retail. BSOD «MEMORY MANAGEMENT» + «Page Fault it non paged area» + «IRQL NOT LESS OR EQUAL» Errors


Несколько дней назад я получил свой dell.


«People» app error -«your password has changed»

Я только что получил этот новый опыт? У кого-то было все. Как сделать компьютер с MS Windows 8.

привет, чтобы повторно ввести мой пароль и я не сменил пароль.

Please enter your password.» Howvever there is no place receiving an error which tells me that «Your password has changed. I tried to set up the «People» app and I keep I fix it? Mike

Facebook и Gmail contatc не синхронизируются. Поскольку я получаю ошибку,


HDD title changed from «Seagate «XXX» to «ICL350XXXX

Спасибо

С уважением
Стив

  передает их, однако я не могу загрузить с него. Я все еще могу запустить диагностику жесткого диска, и это

Привет, ребята,

I’ve got seagate hdd that now displays ICL5Oxxxxx when booting up (as detected in the BIOS). Any help on what i can do next?

Означает ли это, что моя плата контроллера на моем жестком диске неисправна ??


BFE «BASE FILTERING ENGINE» network communication or attack?

Anyway the intrusion counter soon stopped and I talking once every time I reboot!

3. first post to this forum. have Vista SP2. Further inspection showed a remote IP address then installed the same firewall on my laptop.

Hi, this is my going on here? Was 72.27.8.199:1051 my laptop and HTPC, that coexists with the VISTA firewall on both. This led me to discover that port 56420 was used The HTPC and laptop BFEs like probing/attacking me?
2.

Was 83.227.24.134:59791 probing/attacking me or is there Can someone please explain to me why the «Base Filtering Engine» on What is this happening?

Seven other remote machines tried the same thing within the same 203 am confused. After the first reboot on the 72.27.8.199:1051 hammering my port 56420 every 2 seconds. Anyway I DEJAVU? Both are port, which led me to SVCHOST and a PID.

Today I installed a 3rd party firewall (COMODO Internet Security) on each of my LAN machines feels the need to communicate and make small-talk?
4. I was alarmed and searched for my 56420 and their source was my HTPC with port 56420! Both machines by BFE or «Base Filtering Engine» (and not to its dependents).

1. Любые идеи, пожалуйста?

  something else going on with this one?

attempts but with ports above 51000 and only once each (e.g. 83.227.24.134:59791). To my amazement intrusion alerts started poping up HTPC, I noticed 203 intrusion detections. Why is behaving perfectly.


Mouse Middle Button changed it’s «show open windows» function

Надеюсь, что это стало достаточно ясным. Это все экранное окно снова, мне это нравится намного больше. У меня есть мышца Logitech, поэтому я получаю Спасибо. и модель вашей мыши?

посмотрите, есть ли у вас вкладка типа настроек, как на скриншоте ниже. Если мы знаем, какой из них у вас есть, то кто-то это, когда я нажимаю на вкладку «Настройки SetPoint». Я надеюсь, что у меня есть бренд. Что такое бренд, приветствуется на семи форумах.

Отсюда я могу изменить функцию средней кнопки. Может кто-то, кого я хотел бы знать, как мне получить это сейчас,
Shawn

На данный момент нажмите значок мыши на панели управления (значок), чтобы помочь мне?

Это зависит от того, какой у вас бренд, и если вы установили драйверы / программное обеспечение мыши. Привет, Томас, и с тем же сможет лучше помочь.


Win 10 and BitLocker Issue &quot;This device cannot use a trusted platform module…&quot;


BSOD when system «thought» that an Intel i5-750 platform was an AMD Phenom ?!?

The AMD this come from? Thanks in advance for Phenom processor. The funny thing is that the platform could not be farther from AMD family of hardware, being an Intel i5-750 on Asus P7-P55D motherboard.

Everywhere in the system (Vista Business any help

So where could x64), the processor is correctly recognized.


Error 0x800706d9: Base Filtering Engine refuses to start, «Access is Denied»

I then tried to change its startup type from «Disabled» to «Automatic», Procedure Call (RPC) service, and it is running with no issue. virus attacks on this computer. This problem has proven itself to be a free version of MalwareBytes Anti-Malware installed on my system. I’m lost as to I saw the owner of the BFE subregistry was «SYSTEM».

Access is denied.» when I This error keeps me from doing several tasks on my computer, but when I hit «Apply» afterwards, I got the message «Access is Denied». I checked the Base Filtering Engine’s only dependency, the Remote definitions update v2016.07.23.07, and nothing was detected there either.

Затем я повторно запустил Службы как администратор (моя учетная запись на компьютере — учетная запись администратора, кстати) и попыталась снова, чтобы получить ту же ошибку. любая помощь.

последние антивирусные определения (160723-0) не возвратили обнаруженных вирусов. В дополнение к AVAST, я также попробовал подтвердить изменение.

Я включил учетную запись системного администратора, вошел в нее и повторил каждый отдельный шаг, за который я заранее заблаговременно заявлял ранее, запустив каждое приложение в качестве администратора, как и раньше, но ничего не изменилось. Я также не могу установить какие-либо шрифты в моей системе из-за другой ошибки, но не включая загрузку обновлений прошивки и загрузку / обновление приложений из Windows Store.

У меня возникла проблема с вкладкой «Службы», и …


New system build, «Conroe» ready platform, suggestions/feedback wanted

Thanks for upgradable having as much «bang for buck» as possible and is within $2000AUD. for obvious reasons, until Conroe prices come down. I will be starting with an Intel 805D, any feedback. Anyway have a look at the document, all prices are in AUD and

Цель этого проекта — сделать систему, которая очень у меня есть @ $ 2009 для верхней части ОЗУ, Mobo, PSU и очень хороших частей.


Solved: Returning Back the «Properties Window» in 2010 VB Platform Right-Handed

You guys gotta solve it, it’s Yes!! the window right-side back? Can you guys see the 2 opened tabs need to move around to do stuff. Any hint to get above in the video> (Form1.vb — Form1.vb [Design]) ?

So can you tell us where it exactly open? It opens as a in the video)

  Why my post is inactive? Which complicates the whole process when I super-easy, I just need a help-out!!

NEW TAB WITH THEM ABOVE. Platform: Microsoft VB 2010 Express (Same platform as


Time changed to 24h and reads «VIRUS ALERT!» also various «Security Alert» popups

Mail Scanner — ALWIL Software seen much change — still getting the same «VIRUS ALERT!» and popups. Antivirus — ALWIL Software — the double-post.

Одна ошибка суда, и я вижу функцию редактирования.

— C: Program Files Avast Avast4 ashMaiSv.exe

O23 — Сервис: avast! Mail Scanner — ALWIL Software не работает на выходные … Извинения за C: Program Files Avast Avast4 ashServ.exe

O23 — Сервис: avast!

Во всяком случае, я запустил Avast и удалил несколько вирусов — C: Program Files Avast Avast4 ashMaiSv.exe

O23 — Сервис: avast! он нашел, но у меня все еще есть эти раздражающие всплывающие окна и т. д. C: Program Files Avast Avast4 ashServ.exe

O23 — Сервис: avast! Антивирус — Программное обеспечение ALWIL —

Я очистил пару гадостей с Adaware, хотя я не мог


Operating Systems Windows 2008 R2 and 7

Windows 2012 R2 and 8.1

Windows 2016 and 10

Windows Server 2019 and 2022

Category
 • Subcategory
Policy Change
 • Other Policy Change Events
Type Success
Corresponding events
in Windows
2003
and before
 

5447: A Windows Filtering Platform filter has been changed

On this page

  • Description of this event
  • Field level details
  • Examples
  • Discuss this event
  • Mini-seminars on this event

Free Security Log Resources by Randy

  • Free Security Log Quick Reference Chart
  • Windows Event Collection: Supercharger Free Edtion
  • Free Active Directory Change Auditing Solution
  • Free Course: Security Log Secrets

Description Fields in
5447

Subject:

  •  Security ID:  %2
  •  Account Name:  %3

Process Information:

  •  Process ID: %1

Provider Information:

  •  ID:  %4
  •  Name:  %5

Change Information:

  •  Change Type: %6

Filter Information:

  •  ID:  %7
  •  Name:  %8
  •  Type:  %9
  •  Run-Time ID: %10

Layer Information:

  •  ID:  %11
  •  Name:  %12
  •  Run-Time ID: %13

Callout Information:

  •  ID:  %17
  •  Name:  %18

Additional Information:

  •  Weight: %14
  •  Conditions: %15
  •  Filter Action: %16

Supercharger Free Edition

Your entire Windows Event Collection environment on a single pane of glass.

Free.

Examples of 5447

A Windows Filtering Platform filter has been changed.

Subject:

   Security ID:  LOCAL SERVICE
   Account Name:  NT AUTHORITYLOCAL SERVICE

Process Information:

   Process ID: 1364

Provider Information:

   ID:  {4b153735-1049-4480-aab4-d1b9bdc03710}
   Name:  Windows Firewall

Change Information:

   Change Type: Delete

Filter Information:

   ID:  {d0a8b19f-7660-4712-99d0-c415217eb500}
   Name:  DhcpFirewallPolicy
   Type:  Not persistent
   Run-Time ID: 66758

Layer Information:

   ID:  {e1cd9fe7-f4b5-4273-96c0-592e487b8650}
   Name:  ALE Receive/Accept v4 Layer
   Run-Time ID: 44

Callout Information:

   ID:  {00000000-0000-0000-0000-000000000000}
   Name:  —

Additional Information:

 
   Weight: 140728898420736

Conditions:

   Condition ID: {0c1ba1af-5765-453f-af22-a8f791ac775b}
   Match value: Equal to
   Condition value: 0x0222

   Condition ID: {d78e1e87-8644-4ea5-9437-d809ecefc971}
   Match value: Equal to

   Condition value:

   00000000  5c 00 64 00 65 00 76 00-69 00 63 00 65 00 5c 00  .d.e.v.i.c.e..
   00000010  68 00 61 00 72 00 64 00-64 00 69 00 73 00 6b 00  h.a.r.d.d.i.s.k.
   00000020  76 00 6f 00 6c 00 75 00-6d 00 65 00 31 00 5c 00  v.o.l.u.m.e.1..
   00000030  77 00 69 00 6e 00 64 00-6f 00 77 00 73 00 5c 00  w.i.n.d.o.w.s..
   00000040  73 00 79 00 73 00 74 00-65 00 6d 00 33 00 32 00  s.y.s.t.e.m.3.2.
   00000050  5c 00 73 00 76 00 63 00-68 00 6f 00 73 00 74 00  .s.v.c.h.o.s.t.
   00000060  2e 00 65 00 78 00 65 00-00 00                    ..e.x.e…

   Condition ID: {af043a0a-b34d-4f86-979c-c90371af6e66}
   Match value: Equal to
   Condition value:
O:SYG:SYD:(A;;CCRC;;;S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582)
 

  Condition ID: {c35a604d-d22b-4e1a-91b4-68f674ee674b}
  Match value: Equal to
  Condition value: 0x0223

  Condition ID: {3971ef2b-623e-4f9a-8cb1-6e79b806b9a7}
  Match value: Equal to
  Condition value: 0x11

  Filter Action: Permit

Top 10 Windows Security Events to Monitor

Free Tool for Windows Event Collection

5152 (F): платформа фильтрации Windows заблокировала пакет. 5152(F): The Windows Filtering Platform blocked a packet.

Относится к: Applies to

  • Windows 10; Windows 10
  • Windows Server2016 Windows Server 2016

Описание события: Event Description:

Это событие генерируется, когда платформа фильтрации Windows заблокировала сетевой пакет. This event generates when Windows Filtering Platform has blocked a network packet.

Это событие генерируется для каждого полученного сетевого пакета. This event is generated for every received network packet.

Note Примечание Рекомендации можно найти в статье рекомендации по мониторингу безопасности для этого события. Note For recommendations, see Security Monitoring Recommendations for this event.

XML-код события: Event XML:

Обязательные роли сервера: Ничего. Required Server Roles: None.

Минимальная версия ОС: Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.

Версии событий: до. Event Versions: 0.

Описания полей: Field Descriptions:

Сведения о приложении: Application Information:

Process ID [тип = указатель ]: ШЕСТНАДЦАТЕРИЧный идентификатор процесса, на который был отправлен заблокированный сетевой пакет. Process ID [Type = Pointer]: hexadecimal Process ID of the process to which blocked network packet was sent. Идентификатор процесса (PID) — это число, используемое операционной системой для уникальной идентификации активного процесса. Process ID (PID) is a number used by the operating system to uniquely identify an active process. Чтобы просмотреть PID для определенного процесса, например с помощью диспетчера задач (вкладка «сведения», столбец PID), выполните указанные ниже действия. To see the PID for a specific process you can, for example, use Task Manager (Details tab, PID column):

Если преобразовать шестнадцатеричное значение в десятичное, его можно сравнить с значениями в диспетчере задач. If you convert the hexadecimal value to decimal, you can compare it to the values in Task Manager.

Вы также можете сопоставить этот идентификатор процесса с ИДЕНТИФИКАТОРом процесса в других событиях, например «4688: создан новый процесс» InformationNew Process ID процесса. You can also correlate this process ID with a process ID in other events, for example, “4688: A new process has been created” Process InformationNew Process ID.

Имя приложения [тип = UnicodeString ]: полный путь и имя исполняемого файла для процесса. Application Name [Type = UnicodeString]: full path and the name of the executable for the process.

Логический диск отображается в формате deviceharddiskvolume #. Logical disk is displayed in format deviceharddiskvolume#. С помощью средства DiskPart вы можете получать номера всех локальных томов. You can get all local volume numbers by using diskpart utility. Для получения номеров тома с помощью DiskPart используется команда «List Volume»: The command to get volume numbers using diskpart is “list volume”:

Сведения о сети: Network Information:

Направление [тип = UnicodeString ]: направление заблокированного подключения. Direction [Type = UnicodeString]: direction of blocked connection.

Входящее – для входящих подключений. Inbound – for inbound connections.

Исходящие — для несвязанных подключений. Outbound – for unbound connections.

Исходный адрес [тип = UnicodeString ]: локальный IP-адрес, на который приложение получало пакет. Source Address [Type = UnicodeString]: local IP address on which application received the packet.

IPv4-адрес IPv4 Address

IPv6-адрес IPv6 Address

::-все IP-адреса в формате IPv6 :: — all IP addresses in IPv6 format

0.0.0.0 — все IP-адреса в формате IPv4 0.0.0.0 — all IP addresses in IPv4 format

127.0.0.1. 1-localhost 127.0.0.1 , ::1 — localhost

Исходный порт [тип = UnicodeString ]: номер порта, для которого приложение получило пакет. Source Port [Type = UnicodeString]: port number on which application received the packet.

Адрес назначения [Type = UnicodeString ]: IP-адрес, с которого был получен или инициирован пакет. Destination Address [Type = UnicodeString]: IP address from which packet was received or initiated.

IPv4-адрес IPv4 Address

IPv6-адрес IPv6 Address

::-все IP-адреса в формате IPv6 :: — all IP addresses in IPv6 format

0.0.0.0 — все IP-адреса в формате IPv4 0.0.0.0 — all IP addresses in IPv4 format

127.0.0.1. 1-localhost 127.0.0.1 , ::1 — localhost

Порт назначения [Type = UnicodeString ]: номер порта, который использовался на удаленном компьютере для отправки пакета. Destination Port [Type = UnicodeString]: port number which was used from remote machine to send the packet.

Protocol [тип = UInt32 ]: число использованных протоколов. Protocol [Type = UInt32]: number of protocol which was used.

Обслуживание Service Номер протокола Protocol Number
Протокол управляющих сообщений в Интернете (ICMP) Internet Control Message Protocol (ICMP) 1,1 1
Протокол управления передачей данных (TCP) Transmission Control Protocol (TCP) 152 6
UDP (User Datagram Protocol) User Datagram Protocol (UDP) 18 17
Общая Инкапсуляция маршрутизации (PPTP-данные по GRE) General Routing Encapsulation (PPTP data over GRE) 47 47
Заголовок Authentication (AH) IPSec Authentication Header (AH) IPSec 51 51
IPSec (ESP) (полезные данные безопасности) Encapsulation Security Payload (ESP) IPSec 50 50
Протокол для внешней шлюза (EGP) Exterior Gateway Protocol (EGP) No8 8
Протокол шлюза (GGP) Gateway-Gateway Protocol (GGP) Трехконтактный 3
Протокол наблюдения за узлом (HMP) Host Monitoring Protocol (HMP) средняя 20
Протокол IGMP (Internet Group Management Protocol) Internet Group Management Protocol (IGMP) 88 88
Удаленный виртуальный диск MIT (RVD) MIT Remote Virtual Disk (RVD) 66 66
OSPF — открытие кратчайшего пути сначала OSPF Open Shortest Path First 89 89
Протокол универсальных пакетов PARC (PUP) PARC Universal Packet Protocol (PUP) 12 12
Надежный протокол датаграмм (RDP) Reliable Datagram Protocol (RDP) отображал 27
QoS по протоколу резервирования (RSVP) Reservation Protocol (RSVP) QoS 46 46

Сведения о фильтре: Filter Information:

Filter код времени выполнения [тип = UInt64 ]: уникальный идентификатор фильтра, который заблокировал пакет. Filter Run-Time ID [Type = UInt64]: unique filter ID which blocked the packet.

Чтобы найти определенный фильтр платформы фильтрации Windows по ИДЕНТИФИКАТОРу, необходимо выполнить следующую команду: netsh wfp show filters. To find specific Windows Filtering Platform filter by ID you need to execute the following command: netsh wfp show filters. В результате этой команды будет создано filters.xml файл. As result of this command filters.xml file will be generated. Вам нужно открыть этот файл и найти определенную подстроку с обязательным идентификатором фильтра (** filterId**),** например: You need to open this file and find specific substring with required filter ID ( ),** for example:

Имя слоя [Type = UnicodeString ]: имя слоя принудительного применения уровня приложения . Layer Name [Type = UnicodeString]: Application Layer Enforcement layer name.

Код выполнения уровня [тип = UInt64 ]: идентификатор уровня платформы фильтрации Windows. Layer Run-Time ID [Type = UInt64]: Windows Filtering Platform layer identifier. Чтобы найти определенный идентификатор уровня платформы фильтрации Windows, необходимо выполнить следующую команду: netsh wfp show state (состояние). To find specific Windows Filtering Platform layer ID you need to execute the following command: netsh wfp show state. В результате этой команды будет создано wfpstate.xml файл. As result of this command wfpstate.xml file will be generated. Вам нужно открыть этот файл и найти определенную подстроку с требуемым идентификатором уровня (** layerId**),** например: You need to open this file and find specific substring with required layer ID ( ),** for example:

Рекомендации по мониторингу безопасности Security Monitoring Recommendations

Для 5152 (F): платформа фильтрации Windows заблокировала пакет. For 5152(F): The Windows Filtering Platform blocked a packet.

Если у вас есть предопределенное приложение, которое должно использоваться для выполнения операции, о которой сообщило данное событие, наблюдайте за событиями «приложение» и не эквивалентно определенному приложению. If you have a pre-defined application which should be used to perform the operation that was reported by this event, monitor events with “Application” not equal to your defined application.

Вы можете следить за тем, чтоприложениене находится в стандартной папке (например, не в каталог system32 или файлы программ) или находится в папке с ограниченным доступом (например, временные файлы Интернета). You can monitor to see if “Application” is not in a standard folder (for example, not in System32 or Program Files) or is in a restricted folder (for example, Temporary Internet Files).

Если у вас есть предварительно определенный список ограниченных подстрок или слов в именах приложений (например, «mimikatz» или «cain.exe«), проверьте эти подстроки в «Application«. If you have a pre-defined list of restricted substrings or words in application names (for example, “mimikatz” or “cain.exe”), check for these substrings in “Application.”

Убедитесь, что адрес источника — один из адресов, назначенных компьютеру. Check that Source Address is one of the addresses assigned to the computer.

Если компьютер или устройство не должны иметь доступ к Интернету или содержит только те приложения, которые не подключены к Интернету, наблюдайте за событиями 5152 , где адрес назначения является IP-адресом из Интернета (не из диапазонов частных IP-адресов). If the computer or device should not have access to the Internet, or contains only applications that don’t connect to the Internet, monitor for 5152 events where Destination Address is an IP address from the Internet (not from private IP ranges).

Если вы знаете, что компьютеру не следует общаться или общаться с определенными IP-адресами сети, проследите за этими адресами в разделе «адрес назначения«. If you know that the computer should never contact or be contacted by certain network IP addresses, monitor for these addresses in “Destination Address.”

Если у вас есть список разрешенных IP-адресов, к которым должен быть подключен компьютер или устройство, проследите за IP-адресами в разделе «конечный адрес» , который не входит в список разрешений. If you have an allow list of IP addresses that the computer or device is expected to contact or be contacted by, monitor for IP addresses in “Destination Address” that are not in the allow list.

Если вам нужно наблюдать за всеми входящими подключениями к определенному локальному порту, проследите за событиями 5152 с помощью этого «исходного порта«. « If you need to monitor all inbound connections to a specific local port, monitor for 5152 events with that “Source Port.

Отслеживайте все соединения с помощью «номера протокола» , которое не является типичным для этого устройства или compter, например, что угодно, кроме 1, 6 или 17. Monitor for all connections with a “Protocol Number” that is not typical for this device or compter, for example, anything other than 1, 6, or 17.

Если на компьютере с параметром «адрес назначения» необходимо всегда использоватьопределенный порт назначения,****проследите за любым другимпортом назначения. If the computer’s communication with “Destination Address” should always use a specific “Destination Port, monitor for any other “Destination Port.”

Источник

Аудит отбрасывания пакетов платформой фильтрации Audit Filtering Platform Packet Drop

Область применения Applies to

  • Windows 10; Windows 10
  • WindowsServer2016 Windows Server 2016

Отбрасывание пакетов платформой фильтрации определяет, будет ли операционная система создавать события аудита, когда пакеты отбрасываются платформой фильтрации Windows. Audit Filtering Platform Packet Drop determines whether the operating system generates audit events when packets are dropped by the Windows Filtering Platform.

Платформа фильтрации Windows (WFP) позволяет независимым поставщикам программного обеспечения фильтровать и изменять пакеты TCP/IP, отслеживать и авторизовать подключения, фильтровать трафик с защитой IP (IPsec) и фильтровать удаленные вызовы процедур (RPC). Windows Filtering Platform (WFP) enables independent software vendors (ISVs) to filter and modify TCP/IP packets, monitor or authorize connections, filter Internet Protocol security (IPsec)-protected traffic, and filter remote procedure calls (RPCs).

Высокий процент отброшенных пакетов может указывать на то, что попыток получить несанкционированный доступ к компьютерам в сети. A high rate of dropped packets may indicate that there have been attempts to gain unauthorized access to computers on your network.

Объем событий: высокий. Event volume: High.

Тип компьютера Computer Type Общее успешное General Success Общий сбой General Failure Более надежный успех Stronger Success Надежная ошибка Stronger Failure Комментарии Comments
Контроллер домена Domain Controller Нет No Нет No Нет No Нет No Объем событий сбоя обычно очень высок для этой подкатегории и обычно используется для устранения неполадок. Failure events volume typically is very high for this subcategory and typically used for troubleshooting. Если вам нужно наблюдать за заблокированными соединениями, лучше использовать «5157(F)»: платформа фильтрации Windows заблокировала соединение, так как она содержит практически те же данные и генерируется отдельно для каждого подключения, а не для каждого пакета. If you need to monitor blocked connections, it is better to use “5157(F): The Windows Filtering Platform has blocked a connection,” because it contains almost the same information and generates per-connection, not per-packet.
Не существует рекомендации по включению аудита успехов, так как события успешных событий в этой подкатегории редко происходят. There is no recommendation to enable Success auditing, because Success events in this subcategory rarely occur.
Рядовой сервер Member Server Нет No Нет No Нет No Нет No Объем событий сбоя обычно очень высок для этой подкатегории и обычно используется для устранения неполадок. Failure events volume typically is very high for this subcategory and typically used for troubleshooting. Если вам нужно наблюдать за заблокированными соединениями, лучше использовать «5157(F)»: платформа фильтрации Windows заблокировала соединение, так как она содержит практически те же данные и генерируется отдельно для каждого подключения, а не для каждого пакета. If you need to monitor blocked connections, it is better to use “5157(F): The Windows Filtering Platform has blocked a connection,” because it contains almost the same information and generates per-connection, not per-packet.
Не существует рекомендации по включению аудита успехов, так как события успешных событий в этой подкатегории редко происходят. There is no recommendation to enable Success auditing, because Success events in this subcategory rarely occur.
Компьютере Workstation Нет No Нет No Нет No Нет No Объем событий сбоя обычно очень высок для этой подкатегории и обычно используется для устранения неполадок. Failure events volume typically is very high for this subcategory and typically used for troubleshooting. Если вам нужно наблюдать за заблокированными соединениями, лучше использовать «5157(F)»: платформа фильтрации Windows заблокировала соединение, так как она содержит практически те же данные и генерируется отдельно для каждого подключения, а не для каждого пакета. If you need to monitor blocked connections, it is better to use “5157(F): The Windows Filtering Platform has blocked a connection,” because it contains almost the same information and generates per-connection, not per-packet.
Не существует рекомендации по включению аудита успехов, так как события успешных событий в этой подкатегории редко происходят. There is no recommendation to enable Success auditing, because Success events in this subcategory rarely occur.

Список событий: Events List:

5152(F): платформа фильтрации Windows заблокировала пакет. 5152(F): The Windows Filtering Platform blocked a packet.

5153(ов): более строгий фильтр платформы фильтрации Windows заблокировал пакет. 5153(S): A more restrictive Windows Filtering Platform filter has blocked a packet.

Источник

Like this post? Please share to your friends:
  • Windows file recovery скачать без store
  • Windows file recovery бесплатная программа microsoft для восстановления данных
  • Windows error recovery что делать видео на русском
  • Windows error recovery что делать windows 7 на ноутбуке
  • Windows file protection защита системных файлов