none
The Windows Filtering Platform has blocked a connection. RRS feed

  • Общие обсуждения

  • Добрый день, коллеги, помогите разобраться. 

    Ситуация следующая: есть EXE или PS1 , вцель которых установить соедининие с другим компьютером в сети (New-Object System.Net.Sockets.TCPClient -ArgumentList "$server","$portToCheck")

    Итак при попытке дернуть EXE или PS1 удаленно получаю :

    event ID: 5157, 5152 

    The Windows Filtering Platform has blocked a connection.

    Application Name: \device\harddiskvolume2\scripts\socket.exe

    порывшись в нете я нашел описание как это работает и что блокирует конкретно фильтр из ALE WFP,( https://msdn.microsoft.com/en-us/library/bb613463(v=vs.85).aspx ) но как настроить так что б данные пакеты от этого приложения (или скрипта) не блокировались - я так и не понял.

    • Изменен тип Vector BCOModerator 16 августа 2016 г. 7:01 Отсутствие активности
    27 января 2015 г. 13:40

Все ответы

  • Здравствуйте,

    Вам скорее всего следует обратиться в ветку Windows Scripting

    Также ознакомьтесь со статьями:

    http://support.microsoft.com/kb/2654852/ru

    Также Вы можете попробовать отключить " Filtering Platform Connection" в "Advanced Audit Policy Configuration" в "Local Security Policy".
        1.  Windows + R (run)
        2. Набрать secpol.msc, нажать OK
        3. Пройти в Advanced Audit Policy Configuration -> Object Access.
        4. Проверить Audit Filtering Platform Connection Если настроено как "Success", Вы можете вернуть значение на "Not Configured"  и применить (Apply).


    Best Regards, Andrei ...
    Microsoft Certified Professional

    • Изменено SQxModerator 27 января 2015 г. 22:58 update
    27 января 2015 г. 22:45
    Модератор
  • если я отключу ветку ,  я просто перестану получать нотификации событий или перестанет работать  сам "Filtering Platform Connection" и пакеты перестанут блокироваться?
    28 января 2015 г. 10:16
  • К сожалению на верняка  ответить на Ваш вопрос не получается возможным. Вам следует ознакомится с причиной такого поведения и с решением http://support.microsoft.com/kb/2654852/ru

    Также на некоторых форумах описывают, что тоже самое решение можно решить с помощью исполнения следующих команд:

    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
    auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

    Best Regards, Andrei ...
    Microsoft Certified Professional

    28 января 2015 г. 16:18
    Модератор
  • А фаэрвол случаем не выключили?

    Сазонов Илья http://isazonov.wordpress.com/

    28 января 2015 г. 16:44
    Модератор
  • нет, как раз если остановить службу фаэрвола , а Windows Filtering Platform - это компонент его, то пакеты перестают дропаться, но это же не выход.
    29 января 2015 г. 10:16
  • К сожалению на верняка  ответить на Ваш вопрос не получается возможным. Вам следует ознакомится с причиной такого поведения и с решением http://support.microsoft.com/kb/2654852/ru

    Также на некоторых форумах описывают, что тоже самое решение можно решить с помощью исполнения следующих команд:

    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
    auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

    Best Regards, Andrei ...
    Microsoft Certified Professional

    мне необходимо сделать так что б пакеты моего приложения не дропались, а не сделать так, что б событие дропа не попадало в евент лог.

    29 января 2015 г. 11:14
  • Описанные выше методы (auditpol и Advanced Audit Policy Configuration) влияют исключительно на аудит (запись события в журнал), но никак не влияют на само событие

    29 января 2015 г. 12:42
    Модератор
  • Фаэрвол для исходящих включен?

    Сазонов Илья http://isazonov.wordpress.com/

    29 января 2015 г. 12:49
    Модератор
  • включен , да и я для приложения так же исходящее правило создал, если приложение локально запустить - оно работает, но вот если его удаленно по SNMP дергать - то нет  :(
    30 января 2015 г. 8:36
  • может действительно перенести в ветку "скриптинг" ?
    30 января 2015 г. 8:37
  • Проверяли если для исходящих создать правило разрешающее весь трафик, то работает?


    Сазонов Илья http://isazonov.wordpress.com/

    30 января 2015 г. 12:22
    Модератор
  • Здравствуйте,
    Есть похожая проблема в англо-язычной ветке
    https://social.technet.microsoft.com/Forums/windowsserver/en-US/6e0da75c-252c-4fd8-993b-0a4a97a713b3/getting-alot-of-event-id-5152?forum=winserversecurity

    В которой написано что не рекомендуется выключать audit уведомления, а просто если Windows Firewall включен, убедиться что приложение не блокируется Windows Firewall, т.е. присутствует правило которое разрешается входящие/исходящие пакеты.

    Best Regards, Andrei ...
    Microsoft Certified Professional

    • Изменено SQxModerator 30 января 2015 г. 13:04 исправлено
    30 января 2015 г. 13:03
    Модератор
  • Проверял, пакеты все равно лочатся.
    2 февраля 2015 г. 12:24
  • Пакеты действительно блокируется файерволом, конекретно ALE фильтром, который является компонентом  Windows Filtering Platform, который в свою очередь является компонентом WF. Вопрос в том как натюнить ALE.
    2 февраля 2015 г. 12:30
  • Вы можете отключить фаэрвол для исходящих пакетов и проверить, что ваша программа заработала?

    Сазонов Илья http://isazonov.wordpress.com/

    2 февраля 2015 г. 17:31
    Модератор
  • Илья, отключить файервол - что имеется ввиду? - Если  в панели управления тыцнуть на OFF, то пакеты всеравно блокируются, пакеты перестают блокироваться только если остановить службу Base Filtering Engine и все зависимости (IPsec Policy Agent, Windows Firewall, IKE and Auth IPsec Keying Modules)
    • Изменено tervola 3 февраля 2015 г. 9:07
    3 февраля 2015 г. 8:55