Если у вас в журнале безопасности регистрируется довольно много сообщений с Event ID 5156, которые сообщают что »The Windows Filtering Platform has allowed a connection» и вы хотите их отключить, сделайте следующее:

Запустите gpedit.msc и перейдите в ветку «Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options«. Убедитесь что у вас, в Windows 2008, включена опция:  »Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings«.

После этого нужно воспользоваться командой «auditpol». Введите команду:

auditpol /set /subcategory:»Filtering Platform Connection» /success:disable /failure:enable

Чтоб посмотреть синтаксис этой команды введите в командной строке:

auditpol /?

Чтоб получить список всех категорий и под категорий введите:

auditpol /list /subcategory:*

Чтоб отобразить текущую политику аудита для всех категорий и подкатегорий введите:

auditpol /get /category:*

Подсмотрено тут: http://www.ultimatewindowssecurity.com/wiki/WindowsSecuritySettings/Auditpol