Аудит драйвера IPsec

В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит драйвера IPsec, определяет, создает ли операционная система события аудита для действия драйвера IPsec.

Драйвер IPsec, используя список фильтров IP из активной политики IPsec, отслеживает исходящие IP-пакеты, которые необходимо защитить, и входящие пакеты IP, которые необходимо проверить и расшифровать. Этот параметр политики безопасности сообщает о следующих действиях драйвера IPsec.

  • Запуск и завершение работы служб IPsec.

  • Отклонение пакетов из-за сбоя проверки целостности.

  • Отклонение пакетов из-за сбоя проверки повторения.

  • Отклонение пакетов из-за передачи в виде открытого текста.

  • Получены пакеты с неправильным индексом параметра безопасности (SPI). (В том числе неисправное оборудование или проблемы взаимодействия.)

  • Сбой обработки фильтров IPsec.

Высокая скорость отклонения пакета драйвером фильтра IPsec может указывать на попытки получения доступа к сети неавторизованными системами.

Сбой обработки фильтров IPsec представляет возможную угрозу безопасности, поскольку некоторые сетевые интерфейсы могут не получать защиту от фильтра IPsec.

Объем события: средний

По умолчанию: не настроено

Код событияСообщение о событии

4960

Службы IPsec отклонили входящий пакет, который не прошел проверку целостности. Если эта проблема не устранена, это может указывать на ошибку сети или на то, что пакеты изменяются по пути на этот компьютер. Убедитесь, что пакеты, отправляемые с удаленного компьютера, совпадают с получаемыми этим компьютером пакетами. Эта ошибка также может указывать на проблемы взаимодействия с другими реализациями IPsec.

4961

Службы IPsec отклонили входящий пакет, который не прошел проверку повторения. Если эта проблема не устранена, это может указывать на атаку с повторением против этого компьютера.

4962

Службы IPsec отклонили входящий пакет, который не прошел проверку повторения. Порядковый номер входящего пакета слишком мал, чтобы подтвердить, что это не связано с атакой с повторением.

4963

Службы IPsec отклонили входящий пакет с открытым текстом, который должен был быть защищен. Обычно это вызвано тем, что удаленный компьютер меняет свою политику IPsec, не сообщая этому компьютеру. Это также может обозначать попытку IP-спуфинга.

4965

Службы IPsec получили пакет от удаленного компьютера с неправильным индексом параметра безопасности (SPI). Обычно это вызвано неисправным оборудованием, которое повреждает пакеты. Если эти ошибки сохраняются, убедитесь, что пакеты, отправляемые с удаленного компьютера, совпадают с пакетами, которые получает этот компьютер. Эта ошибка также может указывать на проблемы взаимодействия с другими реализациями IPsec. В этом случае, если подключение не заблокировано, эти события можно проигнорировать.

5478

Службы IPsec успешно запущены.

5479

Службы IPsec успешно отключены. Завершение работы служб IPsec может подвергнуть компьютер риску сетевой атаки или сделать компьютер уязвимым для потенциальных угроз.

5480

Службам IPsec не удалось получить полный список сетевых интерфейсов на компьютере. Это представляет потенциальный риск для безопасности, поскольку некоторые из сетевых интерфейсов не будут защищены фильтрами IPsec. Для диагностики ошибки используйте оснастку монитора IP-безопасности.

5483

Службам IPsec не удалось инициализировать сервер RPC. Не удалось запустить службы IPsec.

5484

Произошел критический сбой служб IPsec, они были отключены. Завершение работы служб IPsec может подвергнуть компьютер риску сетевой атаки или сделать компьютер уязвимым для потенциальных угроз.

5485

Службам IPsec не удалось обработать некоторые фильтры IPsec события Plug and Play для сетевых интерфейсов. Это представляет потенциальный риск для безопасности, поскольку некоторые из сетевых интерфейсов не будут защищены фильтрами IPsec. Для диагностики ошибки используйте оснастку монитора IP-безопасности.

 

Связанные разделы

Параметры расширенной политики аудита безопасности

 

 

Показ: