Russian

Платформа фильтрации Windows заблокировала вход в систему с идентификатором события 5157. Простое решение

Платформа фильтрации Windows заблокировала вход в систему с идентификатором события 5157. Простое решение

Получите лучший инструмент для ремонта ПК для вашего компьютера. Скачать сейчас.

Сегодняшнее руководство пользователя поможет вам, когда вы услышите сообщение об ошибке “Платформа фильтрации Windows заблокировала событие входа в систему с идентификатором 5157”.Идентификатор события 5157 — платформа фильтрации Windows заблокировала гиперссылку. Журналы Windows имеют значение 5157 всякий раз, когда WFP блокирует связь между вашей собственной программой и значимым процессом. Весь этот другой процесс легко выполняется на конкретном компьютере, а также на удаленном компьютере.

<основной><дел><дел><ул>

  • 4 пару минут воспроизведения
  • <картинка>

    Подкатегория: Фильтрация аудита входа в платформу

    Описание события:

    Возможно, это приведет к возникновению события в тех случаях, когда платформа фильтрации Windows блокирует соединение.

    <цитата блока>

    Что такое отбрасывание пакета платформы фильтрации?

    Аудит отбрасывания пакетов платформы фильтрации определяет или даже собственная операционная система генерирует события налогообложения из-за отбрасывания пакетов из-за нашей собственной платформы фильтрации Windows. Высокий уровень потерянных пакетов будет свидетельствовать о частых попытках несанкционированного доступа к компьютерам в нашей сети.

    Примечание. Истории безопасности см. в рекомендациях по мониторингу для отдельных типов событий.


    XML события:

    платформа фильтрации Windows заблокировала определенный идентификатор события подключения 5157

    - - <системы>  5157 <версия>1 <уровень>0 <задача>12810 <Код операции>0 0x8010000000000000   <Идентификатор доступа к событию>304390 <корреляция />  Безопасность <компьютер>DC01.contoso. локальный <безопасность/> - <Данные события> 4556 deviceharddiskvolume2documentslistener. exe %%14592 10.0.0.10 3333 Name="DestAddress">10  49218 6 110398 %%14610 44 S-1-0-0 <данные name="remotemachineid">s-1-0-0  

    Необходимые серверные задачи: нет.

    Минимальная версия ОС Windows: Server 2008, Windows Vista.

    Версия события: 0.

    Описания полей:

    Что такое событие с идентификатором 5157?

    5157: Платформа фильтрации Windows заблокировала связь. Это событие документирует каждый раз, когда WFP создает программу для подключения, чтобы помочь вам со многими другими процессами (на реальном компьютере или на очень универсальном удаленном компьютере) через порт TCP или UDP.

    Информация о приложении:

    <ул>

  • Какая большая часть Windows Filtering Platform заблокировала пакет?

    Этот сценарий генерируется всякий раз, когда ваша платформа фильтрации Windows блокирует онлайн-пакет круга. Это событие генерируется для сборки для каждого принятого сетевого пакета. Примечание. Советы по этому событию см. в разделе Рекомендации по мониторингу безопасности. Требуемые вакансии сервера: нет.

    Идентификатор процесса [Type = Pointer]: шестнадцатеричный идентификатор процесса, который пытался подключиться. Идентификатор процесса (PID) — это число, используемое просто точными системными операциями для однозначного понимания замечательного активного процесса. Просмотрите PID конкретной тактики, которую вы можете легко использовать для примера, в диспетчере задач (вкладка "Подробности", обнимите свой PID):

    <картинка>

    Если вы преобразуете более богатое шестнадцатеричное значение в десятичное, сравните эту задачу со значениями диспетчера задач.

    Кроме того, вы можете сопоставить этот выделенный идентификатор процесса с идентификатором процесса в других условиях, таких как "4688: новый метод был создан с параметром "Информация о процессеНовый идентификатор процесса". '".

  • Имя приложения [Type = UnicodeString]: полный путь и имя исполняемого файла любого типа для всего процесса.

    Логический том отображается в формате deviceharddiskvolume#. Функция Diskpart позволяет расположить все тома по номерам. Команда для получения количества томов с помощью Diskpart — «Список томов»:

  • <картинка>

    Информация о сети:

    <ул>

  • платформа блокировки Windows заблокировала идентификатор праздника соединения 5157

    Направление [Type = UnicodeString]: их направление разорванного соединения.

    <ул>

  • Входящие — из-за входящих подключений.

  • Исходящие соединения относятся к нерелевантным подключениям.

  • Исходный адрес [тип - локальная строка Unicode]: IP-адрес, известный приложению, получившему соединение.

    <ул>

  • IPv4-адрес

  • IPv6-адрес

  • ::- все IP-адреса в формате IPv6

  • Быстрый и простой ремонт ПК

    Ваш компьютер работает медленно, и вы получаете сообщения об ошибках? Не волнуйтесь, Reimage может это исправить. Reimage обнаружит, что не так с вашим компьютером, и устранит проблемы с реестром Windows, которые вызывают у вас широкий спектр проблем. Вам не нужно быть экспертом в компьютерах или программном обеспечении — Reimage сделает всю работу за вас. Приложение также обнаружит файлы и приложения, которые часто дают сбой, и позволит вам исправить их проблемы одним щелчком мыши. Нажмите сейчас:

  • Шаг 1. Загрузите и установите версию Reimage.
  • Шаг 2. Запустите программу и нажмите "Сканировать".
  • Шаг 3. Нажмите "Восстановить", чтобы исправить ошибки, обнаруженные при сканировании.

  • 0.0.0.0 - все IP-адреса состоят из формата

  • 127 ipv4.0.0.1 . . . - ::1 локальный хост

  • Исходный порт [Type = UnicodeString]: значение порта, на котором обычно приложение получает расширенное соединение.

  • Адрес назначения [Type = UnicodeString]: боевой IP-адрес, с которого соединение было получено, альтернативно инициировано.

    <ул>

  • IPv4-адрес

  • IPv6-адрес

  • ::- почти IP-адреса в формате IPv6

  • 0.0.0.0 - довольно много IP-адресов в самом формате

  • 127 ipv4.0.0.1 , ::1 - локальный хост

  • Поле Destination подразумевает [UnicodeString type]: номер порта, которым владел удаленный компьютер, когда соединение было установлено.

  • Протокол [тип равен UInt32]: количество способов использования этого процесса.

  • <массив><голова>

    Сервис Номер журнала

    <тело>

    Протокол управляющих сообщений Интернета (ICMP)

    <тд>1 Протокол управления передачей (TCP)

    <тд>6 Протокол пользовательских дейтаграмм (UDP) 17 Общая инкапсуляция маршрутизации (свидетельство PPTP через GRE)

    <тд>47 Заголовок аутентификации IPSec (AH)

    <тд>51 Инкапсуляция защищенной полезной нагрузки IPSec (ESP) 50 Протокол внешнего шлюза (EGP) 8 Протокол шлюза (GGP)

    <тд>3 Протокол мониторинга хоста (HMP) 20 Протокол управления группами Интернета (IGMP) 88 С онлайн-помощью виртуального диска (RVD) 66 OSPF: сначала открыть кратчайшее путешествие

    <тд>89 Флот универсального пакетного протокола (PUP) 12 Надежный протокол дейтаграмм (RDP) 27 QoS протокола резервирования (RSVP)

    <тд>46

    Информация о фильтре:

    <ул>

  • Идентификатор запуска фильтра [Type = UInt64]: исходный идентификатор фильтра, прервавшего соединение.

    Чтобы выполнить поиск по идентификатору определенной платформы фильтрации Windows, от которой вы защищены, выполните следующую командную строку: netsh wfp showfilters. В результате выполнения этой ключевой факт-команды был создан произвольный файл «filters.xml». Откройте этот единственный файл, а также найдите определенную подстроку с требуемым идентификатором фильтра (), чтобы успешно найти пример:

    <картинка>

  • Слой [имя типа подразумевает UnicodeString]: Прикладной уровень приложения Псевдоним слоя. Время выполнения

  • Идентификатор уровня [Type = UInt64]: идентификатор адресации платформы фильтрации Windows. Чтобы реализовать другой идентификатор уровня платформы фильтрации Windows, выполните следующую команду: состояние доставки netsh wfp. Эти инструкции пытаются создать файл wfpstate.xml. Откройте этот список и найдите точную подстроку, содержащую требуемый идентификатор слоя (), чтобы получить пример:

  • <картинка>

    Советы по мониторингу безопасности

    Для 5157(f): Платформа фильтрации Windows заблокировала мое соединение.

    <ул>

  • Если у вас есть предопределенный продукт, факт должен использоваться для безусловного выполнения указанной операции благодаря этому сбору, ищите события в разделе Приложение, которые не соответствуют всем приложениям, которые вы разработали.

  • Вы можете отслеживать, находится ли «Приложение» в файловой программе по умолчанию (ради аргумента, а не в System32, и это вполне могут быть файлы) или в надежной папке с ограниченным доступом (например, во временной папке Интернета). файлы).

  • Если у вас есть предопределенный набор важных подстрок или запрещенный вокал в именах приложений (например, «mimikatz», всегда известный как «cain.exe»), проверьте наличие в них подстрок. Строки «приложение».

  • Указать, что «Источник этого адреса» часто является одним из адресов, назначенных компьютеру.

  • Если вашему компьютеру или программному обеспечению не нужен доступ к Интернету или он содержит только приложения, которым лучше не иметь точного подключения к каждому нашему Интернету, следите за событиями 5157 точно "адрес назначения" . € действительно 1 IP-адрес из Интернета (без диапазонов частных IP-адресов).

  • Если кто-то помнит, что компьютер должен безопасно использовать определенные сетевые IP-адреса или никогда не должен автоматически связываться, укажите эти адреса в разделе «Адрес назначения».

  • Если у вас есть белый список, связанный с IP-адресами, с которыми компьютерная система и устройство ожидают связаться или просто должны связаться, отслеживайте те «Пункт назначения в адресе», указанные в информации об IP-коммуникациях, которых нет в готовом списке.

  • Если вам нужно регулярно отслеживать все новые входящие интернет-соединения с определенным локальным местоположением, владельцы могут отслеживать порт для

    Как создать Отключить платформу фильтрации Windows?

    Попробуйте снова отключить его в групповой политике: в разделе «Конфигурация компьютера» -> «Политики» -> «Параметры конфигурации» «Приложения Windows» -> «Параметры безопасности» -> «Конфигурация расширенной политики сканирования».

    Исправьте синий экран смерти и другие проблемы с Windows. Нажмите сюда для того, чтобы скачать.

    Windows Filtering Platform Blocked Logon With Event ID 5157. Easy Solution To Fix
    Windows 필터링 플랫폼이 인시던트 ID 5157로 로그온을 차단했습니다. 수정에 도움이 되는 간편한 솔루션
    La Piattaforma Di Filtraggio Di Windows Ha Bloccato L'accesso Con ID Argomento 5157. Soluzione Semplice Che Si Risolverebbe
    Die Windows-Filterplattform Hat Die Anmeldung Mit Der Ereignis-ID 5157 Blockiert. Einfache Lösung Zum Beheben
    Windows Filtering Platform Blockerade Inloggning Till Händelse-ID 5157. Enkel Lösning För Fix
    Inicio De Sesión Lento O Detenido De La Plataforma De Filtrado De Windows Con ID De Evento 5157. Solución Fácil De Solucionar
    La Plate-forme De Filtrage Windows A Bloqué La Connexion Avec L'ID D'événement 5157. Solution Facile à Corriger
    Logon Bloqueado Do Windows Filtering Platform Consistindo No ID De Evento 5157. Solução Fácil De Corrigir
    Windows Filtering Platform Zablokowała Logowanie Z Identyfikatorem Zdarzenia 5157. Łatwe Rozwiązanie Do Naprawy
    Windows Filtering Platform Blokkeerde Login Met Gebeurtenis-ID 5157. Eenvoudig Beter Op Te Lossen
    г.

  • Share this post

    About the author