- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4944</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13571</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-10-03T00:14:56.644728300Z" />
<EventRecordID>1050808</EventRecordID>
<Correlation />
<Execution ProcessID="500" ThreadID="2216" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="GroupPolicyApplied">No</Data>
<Data Name="Profile">Public</Data>
<Data Name="OperationMode">Off</Data>
<Data Name="RemoteAdminEnabled">Disabled</Data>
<Data Name="MulticastFlowsEnabled">Enabled</Data>
<Data Name="LogDroppedPacketsEnabled">Disabled</Data>
<Data Name="LogSuccessfulConnectionsEnabled">Disabled</Data>
</EventData>
</Event>
所需的服务器角色: 无。
操作系统的最低版本: Windows Server 2008、Windows Vista。
事件版本: 0。
字段描述:
组策略已应用 [Type = UnicodeString]:此事件始终具有“否”值。 此字段应显示以下信息:组策略在启动时应用到 Windows 防火墙。
配置文件使用 [Type = UnicodeString]:显示 Windows 防火墙服务启动时的活动配置文件名称。 此事件始终具有值“Public”,因为当此事件生成时,活动配置文件不会切换为“域”或“专用”。 通常会在发生此事件后看到“4956 (S) :Windows 防火墙更改了活动配置文件”,这会告诉你真正的活动配置文件。
操作模式 [Type = UnicodeString]:
On – 如果“防火墙状态:”设置设置为“公共”配置文件的“打开”。
关闭 - 如果“防火墙状态:”设置设置为“关闭”的“公共”配置文件。
允许远程管理 [Type = UnicodeString]:看起来此设置已连接到“Windows 防火墙:允许远程管理异常”组策略设置,但无论为“Windows 防火墙:允许远程管理异常”设置哪个选项,它始终处于禁用状态,组策略。
允许对多播/广播流量的 Unicast 响应 [Type = UnicodeString]:
启用 - 如果“允许单播响应:” 设置配置设置为“Public”配置文件的“是”。
禁用 - 如果“允许单播响应:” 设置配置设置为“公共”配置文件的“否”。
安全日志记录:
日志删除数据包 [Type = UnicodeString]:
启用 - 如果“日志删除数据包:”日志记录配置设置为“Public”配置文件的“是”。
禁用 - 如果“日志删除数据包:”日志记录配置设置为“公共”配置文件的“否”。
日志成功连接 [Type = UnicodeString]:
启用 - 如果“日志成功连接:”日志记录配置设置为“Public”配置文件的“是”。
禁用 - 如果“日志删除数据包:”日志记录配置设置为“公共”配置文件的“否”。
对于 4944 (S) :Windows 防火墙启动时,以下策略处于活动状态。
如果有针对 公共 配置文件 (定义的 Windows 防火墙设置的标准或基线,可以与域相同,例如) ,请监视此事件,并检查事件报告的设置是否仍与在标准或基线中定义的设置相同。
遗憾的是,此事件仅显示 公共 配置文件的配置,但仍可将所有设置与组织在不同计算机上的公共配置文件的 Windows 防火墙基线进行比较,如果配置不相同,则会触发警报。
