ID d'événement Windows 5152 – Plateforme de filtrage Windows : Paquet réseau bloqué par le pare-feu

Commencez par examiner les détails spécifiques de l'ID d'événement 5152 pour comprendre quel trafic a été bloqué :

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 5152 en utilisant l'option Filtrer le journal actuel
4. Double-cliquez sur un événement 5152 récent pour voir les détails
5. Notez les champs clés suivants :
   • ID de processus et chemin de l'application
   • Adresse source et port source
   • Adresse de destination et port de destination
   • Protocole (TCP/UDP)
   • ID d'exécution du filtre

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5152} -MaxEvents 50 | Select-Object TimeCreated, @{Name='Application';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Application*'}).Split(':')[1].Trim()}}, @{Name='SourceIP';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Source Address*'}).Split(':')[1].Trim()}}

Identifiez quelle règle de pare-feu bloque le trafic en examinant la configuration du Pare-feu Windows Defender :

1. Ouvrez Pare-feu Windows Defender avec sécurité avancée depuis Outils d'administration
2. Vérifiez à la fois les Règles de trafic entrant et les Règles de trafic sortant pour les règles de blocage
3. Cherchez les règles avec Action : Bloquer qui correspondent à l'application ou au port de l'événement 5152
4. Utilisez PowerShell pour lister toutes les règles de blocage :

Get-NetFirewallRule | Where-Object {$_.Action -eq 'Block' -and $_.Enabled -eq 'True'} | Select-Object DisplayName, Direction, Action, Program | Format-Table -AutoSize

Pour trouver les règles affectant une application spécifique :

$AppPath = 'C:\Program Files\YourApp\app.exe'
Get-NetFirewallRule | Where-Object {$_.Program -eq $AppPath} | Get-NetFirewallPortFilter

Déterminez si le trafic bloqué représente une communication légitime de l'application :

1. Identifiez l'application à partir des détails de l'événement 5152
2. Vérifiez la documentation de l'application pour les ports et protocoles réseau requis
3. Utilisez Resource Monitor pour observer l'activité réseau de l'application :
   • Appuyez sur Win + R, tapez resmon.exe
   • Allez à l'onglet Réseau
   • Surveillez les tentatives de connexion de l'application
4. Vérifiez les adresses IP de destination et les ports par rapport aux services connus
5. Utilisez netstat pour vérifier les connexions actives :

netstat -ano | findstr :443
Get-Process -Id [PID_FROM_NETSTAT]

Pour une analyse plus approfondie, utilisez Process Monitor pour suivre l'accès aux fichiers et au réseau :

# Téléchargez et exécutez Process Monitor (ProcMon) de Microsoft Sysinternals
# Filtrez par nom de processus correspondant à l'application bloquée
# Recherchez les opérations liées au réseau qui échouent

Créez des règles de pare-feu appropriées pour permettre le trafic légitime tout en maintenant la sécurité :

1. Créez une nouvelle règle entrante ou sortante dans le Pare-feu Windows Defender avec sécurité avancée
2. Spécifiez le chemin de l'application, les ports et les protocoles identifiés dans les étapes précédentes
3. Utilisez PowerShell pour créer des règles de pare-feu de manière programmée :

# Créer une règle sortante pour une application spécifique
New-NetFirewallRule -DisplayName 'Allow MyApp Outbound' -Direction Outbound -Program 'C:\Program Files\MyApp\myapp.exe' -Action Allow -Protocol TCP -RemotePort 443

# Créer une règle entrante pour un port spécifique
New-NetFirewallRule -DisplayName 'Allow Inbound Port 8080' -Direction Inbound -Protocol TCP -LocalPort 8080 -Action Allow

Activez l'audit de sécurité des connexions pour surveiller la nouvelle règle :

# Activer l'audit d'accès aux objets
auditpol /set /subcategory:'Filtering Platform Connection' /success:enable /failure:enable

# Vérifier que l'audit est activé
auditpol /get /subcategory:'Filtering Platform Connection'

Surveillez l'efficacité des nouvelles règles en vérifiant l'ID d'événement 5156 (connexions autorisées) :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5156} -MaxEvents 20 | Where-Object {$_.Message -like '*MyApp*'}

Effectuer une analyse approfondie du comportement de la plateforme de filtrage Windows pour des scénarios complexes :

1. Utiliser les outils de diagnostic WFP pour tracer les décisions de filtrage de paquets :

# Démarrer la trace WFP (nécessite des privilèges élevés)
netsh wfp capture start
# Reproduire la connexion bloquée
netsh wfp capture stop
# Analyser le fichier de capture avec netsh ou WPA

2. Examiner les filtres et les appels WFP à l'aide des commandes netsh :

# Lister tous les filtres WFP
netsh wfp show filters

# Afficher un filtre spécifique par ID (à partir de l'événement 5152)
netsh wfp show filters filterid=[FILTER_ID]

# Afficher les informations d'état WFP
netsh wfp show state

3. Vérifier les logiciels de sécurité conflictuels ou les paramètres de stratégie de groupe :

# Examiner les paramètres de pare-feu de la stratégie de groupe
Get-ItemProperty -Path 'HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\*' -Recurse

# Vérifier les services de pare-feu tiers
Get-Service | Where-Object {$_.DisplayName -like '*firewall*' -or $_.DisplayName -like '*security*'}

4. Utiliser Windows Performance Toolkit pour une analyse avancée :

# Créer une trace ETW personnalisée pour les événements réseau
wpr -start GeneralProfile -start Network
# Reproduire le problème
wpr -stop NetworkTrace.etl