none
Windows 篩選平台已經封鎖封包的訊息一直產生 RRS feed

  • 一般討論

  • 大家好,公司內有一台WIN2012的主機,在安全性日誌中一直反覆出現"Windows 篩選平台已經封鎖封包,事件ID是5152"及"Windows 篩選平台已經封鎖一個連線, 事件ID是5157"

    這台主機的防火牆我已關閉,但不知這個訊息是從何而來及要如何解決呢???

    2014年4月1日 上午 02:32

所有回覆

  • Hi 豬肉榮

    你有開啟篩選平台連線的稽核原則嗎?

    另外你所有的hotfix都安裝了嗎?

    2014年4月1日 上午 08:32
    版主
  • 你好,這是我們目前內部開放的稽核原則內容....

    只是,我們也是有另一台HYPER-V角色的WIN2012主機,但它的事件檢視器上就沒有這類的訊息~~~~

    2014年4月6日 上午 01:22
  • Hi 豬肉榮

    那這樣子我就比較好奇了

    你是否有看到DHCP的相關LOG

    在事件中會有連接到連接阜67跟68的

    2014年4月7日 上午 02:18
    版主
  • Hi 豬肉榮

    歡迎您將後續測試結果回報至論壇,

    以利討論的進行. 謝謝您!

    2014年4月8日 上午 09:34
    版主
  • 你好...........

    在主機上的事件檢視器,現在改出現

    已建立新的處理程序。

    主旨:
    安全性識別碼: SYSTEM
    帳戶名稱: HYPER-G$
    帳戶網域: ABC
    登入識別碼: 0x3E7

    處理程序資訊:
    新處理程序識別碼: 0x1440
    新處理程序名稱: C:\Windows\System32\conhost.exe
    權杖高度類型: TokenElevationTypeDefault (1)
    建立者處理程序識別碼: 0x1464

    權杖高度類型顯示根據使用者帳戶控制原則所指派給新處理程序的權杖類型。

    類型 1 是完整權杖,沒有權限被移除,也沒有群組被停用。只有在使用者帳戶控制已停用,或是使用者是內建的系統管理員帳戶或服務帳戶時,才會使用完整權杖。

    類型 2 是提高權限的權杖,沒有權限被移除,也沒有群組被停用。當使用者帳戶控制已經啟用,而且使用者選擇使用 Run As 以系統管理員身分啟動程式時,將使用提高權限的權杖。當應用程式設定為永遠要求系統管理員權限或是永遠要求最大權限,而且使用者是 Administrators 群組的成員時,也會使用提高權限的權杖。

    類型 3 是受限制的權杖,系統管理權限被移除,且停用系統管理群組。當使用者帳戶控制已經啟用,應用程式不需要系統管理權限,而且使用者沒有選擇使用 Run As 以系統管理員身分啟動程式時,就會使用受限制的權杖

    --------------------------------------------------------------------------------
    處理程序已結束。

    主旨:
    安全性識別碼: SYSTEM
    帳戶名稱: HYPER-G$
    帳戶網域: ABC
    登入識別碼: 0x3E7

    處理程序資訊:
    處理程序識別碼: 0x1440
    處理程序名稱: C:\Windows\System32\conhost.exe
    結束狀態: 0x0

    .........................................請問,這會是什麼錯誤所造成的呀??

    2014年4月18日 上午 03:54
  • 我的狀況是: Windows 篩選平台允許連接的訊息一直產生
    改善的方法是:
    從命令列開啟本機群組原則編輯器
    按一下 [開始],在 [開始搜尋] 方塊中輸入 gpedit.msc,然後按下 ENTER。
    本機電腦原則
    電腦設定
    Windows設定
    安全性設定 \ 進階稽核原則設定
    系統稽核原則-稽核原則物件
    物件存取
    Windows 篩選平台連線
    把稽核事件由"尚未設定"改為"失敗"
    改好後就只有封鎖的事件會紀錄.
    2017年2月8日 上午 06:36