Аудит драйвера IPsec
В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит драйвера IPsec, определяет, создает ли операционная система события аудита для действия драйвера IPsec.
Драйвер IPsec, используя список фильтров IP из активной политики IPsec, отслеживает исходящие IP-пакеты, которые необходимо защитить, и входящие пакеты IP, которые необходимо проверить и расшифровать. Этот параметр политики безопасности сообщает о следующих действиях драйвера IPsec.
Запуск и завершение работы служб IPsec.
Отклонение пакетов из-за сбоя проверки целостности.
Отклонение пакетов из-за сбоя проверки повторения.
Отклонение пакетов из-за передачи в виде открытого текста.
Получены пакеты с неправильным индексом параметра безопасности (SPI). (В том числе неисправное оборудование или проблемы взаимодействия.)
Сбой обработки фильтров IPsec.
Высокая скорость отклонения пакета драйвером фильтра IPsec может указывать на попытки получения доступа к сети неавторизованными системами.
Сбой обработки фильтров IPsec представляет возможную угрозу безопасности, поскольку некоторые сетевые интерфейсы могут не получать защиту от фильтра IPsec.
Объем события: средний
По умолчанию: не настроено
| Код события | Сообщение о событии |
|---|---|
4960 |
Службы IPsec отклонили входящий пакет, который не прошел проверку целостности. Если эта проблема не устранена, это может указывать на ошибку сети или на то, что пакеты изменяются по пути на этот компьютер. Убедитесь, что пакеты, отправляемые с удаленного компьютера, совпадают с получаемыми этим компьютером пакетами. Эта ошибка также может указывать на проблемы взаимодействия с другими реализациями IPsec. |
4961 |
Службы IPsec отклонили входящий пакет, который не прошел проверку повторения. Если эта проблема не устранена, это может указывать на атаку с повторением против этого компьютера. |
4962 |
Службы IPsec отклонили входящий пакет, который не прошел проверку повторения. Порядковый номер входящего пакета слишком мал, чтобы подтвердить, что это не связано с атакой с повторением. |
4963 |
Службы IPsec отклонили входящий пакет с открытым текстом, который должен был быть защищен. Обычно это вызвано тем, что удаленный компьютер меняет свою политику IPsec, не сообщая этому компьютеру. Это также может обозначать попытку IP-спуфинга. |
4965 |
Службы IPsec получили пакет от удаленного компьютера с неправильным индексом параметра безопасности (SPI). Обычно это вызвано неисправным оборудованием, которое повреждает пакеты. Если эти ошибки сохраняются, убедитесь, что пакеты, отправляемые с удаленного компьютера, совпадают с пакетами, которые получает этот компьютер. Эта ошибка также может указывать на проблемы взаимодействия с другими реализациями IPsec. В этом случае, если подключение не заблокировано, эти события можно проигнорировать. |
5478 |
Службы IPsec успешно запущены. |
5479 |
Службы IPsec успешно отключены. Завершение работы служб IPsec может подвергнуть компьютер риску сетевой атаки или сделать компьютер уязвимым для потенциальных угроз. |
5480 |
Службам IPsec не удалось получить полный список сетевых интерфейсов на компьютере. Это представляет потенциальный риск для безопасности, поскольку некоторые из сетевых интерфейсов не будут защищены фильтрами IPsec. Для диагностики ошибки используйте оснастку монитора IP-безопасности. |
5483 |
Службам IPsec не удалось инициализировать сервер RPC. Не удалось запустить службы IPsec. |
5484 |
Произошел критический сбой служб IPsec, они были отключены. Завершение работы служб IPsec может подвергнуть компьютер риску сетевой атаки или сделать компьютер уязвимым для потенциальных угроз. |
5485 |
Службам IPsec не удалось обработать некоторые фильтры IPsec события Plug and Play для сетевых интерфейсов. Это представляет потенциальный риск для безопасности, поскольку некоторые из сетевых интерфейсов не будут защищены фильтрами IPsec. Для диагностики ошибки используйте оснастку монитора IP-безопасности. |