Event ID 5156 "The Windows Filtering Platform has allowed a connection"

Если у вас в журнале безопасности регистрируется довольно много сообщений с Event ID 5156, которые сообщают что

The Windows Filtering Platform has allowed a connection

и вы хотите их отключить, сделайте следующее:

  • Запустите gpedit.msc
  • Перейдите в ветку "Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options".
  • Убедитесь что у вас, в Windows 2008, включена опция:  "Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings".

После этого нужно воспользоваться командой "auditpol". Введите команду:

auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:enable

Если же вам хочется еще отключить и такие сообщения:

The Windows Filtering Platform blocked a packet

То выполняем команду:

auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:disable

Хотя, если честно, после жалоб "безопасника" на сообщения не несущие полезную информацию сообщения я отключаю вот так :

auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable

Чтоб посмотреть синтаксис этой команды введите в командной строке:

auditpol /?

Чтоб получить список всех категорий и под категорий введите:

auditpol /list /subcategory:*

Чтоб отобразить текущую политику аудита для всех категорий и подкатегорий введите:

auditpol /get /category:*

Начиная с Windows Server 2008 R2 (серверные ОС) и Windows 7 (не серверные ОС) в политиках по адресу  "Computer Configuration/Windows Settings/Security Settings/Advanced Audit Policy Configuration" появились более тонкие настройки аудита из более чем 50-ти различных настроек политики - Advanced Security Audit Policy Settings.

Если при использовании команды auditpol выскакивает "ошибка 0x00000057 произошла: Параметр задан неверно.", то скорее всего вы используете не тот язык в названии категорий, если ОС на русском языке, то категории аудита нужно писать на русском языке.

Понравилось? =) Поделись с друзьями:

Обсуждение записи “Event ID 5156 "The Windows Filtering Platform has allowed a connection"”

  1. Олег says:

    Большое спасибо вам за статью, после многочисленных и безуспешных попыток единственное что помогло решить вопрос

  2. Flom says:

    Спасибо большое за статью, очень полезна оказалась, ушел рыться дальше в политиках

Обсудить