none
Muchos eventos 5156, Microsoft Windows security auditing RRS feed

  • 질문

  • Estimados:

    Tengo un servidor Windows Server 2016, en el cual tengo habilitada la auditoria de archivos para ciertas carpetas.

    Esto funcionaba correctamente.

    Tiempo despues, al volver a visualizar los registros de seguridad, me encuentro con infinidad de eventos 5156:

    -------------------------------

    La Plataforma de filtrado de Windows permitió una conexión.

    Información de aplicación:

    Id. de proceso: 2340

    Nombre de aplicación: \device\harddiskvolume2\program files (x86)\teamviewer\teamviewer_service.exe

    Información de red:

    Dirección: Enlace externo

    Dirección de origen: xxxxxxxxxxxxxx

    Puerto de origen: 52956

    Dirección de destino: xxxxxxxxxx

    Puerto de destino: 5938

    Protocolo: 6

    Información de filtro:

    Id. de tiempo de ejecución de filtro: 293730

    Nombre de nivel: Conectar

    Id. de tiempo de ejecución de nivel: 48

    ----------------------

    Estos eventos, se están generando a razón de 10 por SEGUNDO!.

    He probado en desactivarlo mediante la herramienta del command Auditpol.exe pero me retorna el error 57 el cual carece de información.

    Este evento se refiere a la auditoria del FIREWALL. 

    Estoy necesitando desactivarlo, pero SIN desactivar la auditoria de archivos (por el Administración de directivas de grupo, en Default Controler Domain), pero solo veo AUDITORIA DE OBJETOS para deshabilitar,  la cual es la auditoria de los archivos justamente.

    Existe alguna foma de deshabilitar SOLO la auditoria de FIREWALL ?

    Saludos!.

    2019년 5월 3일 금요일 오전 12:44

모든 응답

  • Que tal amigo,

    No se si has probado crear la regla en el firewall del windows para que te permita el libre acceso y la comunicación no se vea afectada ?

    P.D. Si la respuesta te ayudo, no olvides colocar como respuesta el comentario.


    Jonathan Samayoa

    2019년 5월 3일 금요일 오후 2:59
  • Hola "Gustavo Marano",

    Si aplicastes auditoria es normal que se creen Events ID, dejo una nota:

    5156(S): The Windows Filtering Platform has permitted a connection
    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5156

    Saludos.
    • 답변으로 제안됨 Ignacio Barrios 2019년 6월 6일 목요일 오전 2:22
    2019년 5월 4일 토요일 오후 4:01
  • Si, ya vi absolutamente TODO lo que hay por ahi dando vueltas.

    Pero no ayuda en nada, solo explica el evento.

    No tiene sentido, ya que no se puede modificar por XML los eventos SISTEMA o cualquiera de estas claves nativas.

    Eso serviría para generar un nuevo filtro , pero no aporta en nada a la solución real.


    2019년 5월 4일 토요일 오후 9:48
  • Hola.

    No es ese el problema. La regla estaría y funciona (el detalle del evento lo demuestra)

    El problema no es el firewall, de hecho, ni me interesa, lo suelo desactivar.

    El problema es el abuso de eventos en el visor que me eliminan eventos que sí necesito.

    2019년 5월 4일 토요일 오후 9:50
  • Debido a que no hemos recibido alguna notificación que aún se esté presentando el problema que enuncias en tu consulta  y que la respuesta provista provee un amplio panorama y campo de acción sobre tu duda; nos gustaría considerar tu duda como resuelta debido a la respuesta apropiada proporcionada  y así proceder a calificar la misma como respuesta.

    No dude en ampliar más sobre este tema si es que aún lo requiriera o de abrir una nueva consulta en caso de tener alguna otra situación o de necesitarla con algún otro de los productos de Microsoft.

     

    Adicional le invito a consultar los siguientes recursos:

    Guía para formular preguntas en el foro

    Channel 9 - donde puedes encontrar una sección de: Administración de Windows Servers

     

    Gracias por usar los foros de TechNet.

    Erick Rivera

     ____

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.  

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de    conocimientos relacionados con los productos y tecnologías de Microsoft.   

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    2019년 6월 5일 수요일 오후 10:20