ID d'événement Windows 5157 – Plateforme de filtrage Windows : Connexion réseau bloquée par le pare-feu

Commencez par examiner les détails spécifiques de l'ID d'événement 5157 pour comprendre quelle connexion a été bloquée et pourquoi.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 5157 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 5157 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur une entrée récente de l'ID d'événement 5157 pour voir des informations détaillées
6. Examinez les champs clés dans les détails de l'événement:
   • Informations sur l'application: Chemin du processus et ID
   • Informations réseau: IP source et destination, ports
   • Informations sur le filtre: ID du filtre et nom de la couche qui a bloqué la connexion
7. Notez le champ Direction pour déterminer s'il s'agissait de trafic entrant ou sortant
8. Vérifiez le champ Protocole pour identifier TCP, UDP, ou d'autres protocoles impliqués

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5157} -MaxEvents 50 | Select-Object TimeCreated, @{Name='ProcessName';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Application Name:*'}) -replace '.*Application Name:\s*',''}}, @{Name='SourceIP';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Source Address:*'}) -replace '.*Source Address:\s*',''}}

Examinez les règles actuelles du pare-feu pour identifier quelle règle bloque la connexion et déterminer si une modification est nécessaire.

1. Ouvrez Windows Defender Firewall with Advanced Security en exécutant wf.msc
2. Examinez les sections Règles de réception et Règles de transmission
3. Cherchez les règles avec l'action Bloquer qui correspondent aux détails de la connexion bloquée
4. Vérifiez les propriétés de la règle, y compris :
   • Périmètre (adresses IP spécifiques ou plages)
   • Paramètres de Protocoles et Ports
   • Restrictions de Programmes et Services
5. Utilisez PowerShell pour lister toutes les règles de blocage :

# Lister toutes les règles de pare-feu qui bloquent les connexions
Get-NetFirewallRule | Where-Object {$_.Action -eq 'Block' -and $_.Enabled -eq 'True'} | Select-Object DisplayName, Direction, Action, Enabled | Format-Table -AutoSize

# Obtenir des informations détaillées sur des règles de blocage spécifiques
Get-NetFirewallRule -Action Block | Get-NetFirewallPortFilter | Select-Object InstanceID, Protocol, LocalPort, RemotePort

6. Recoupez l'ID de filtre de l'Événement 5157 avec les propriétés des règles de pare-feu
7. Documentez toutes les règles qui peuvent être trop restrictives pour des applications légitimes

Configurez la journalisation détaillée du pare-feu pour capturer plus d'informations sur les connexions bloquées pour une analyse continue.

1. Ouvrez Windows Defender Firewall with Advanced Security
2. Cliquez avec le bouton droit sur Windows Defender Firewall with Advanced Security dans le volet de gauche
3. Sélectionnez Propriétés
4. Pour chaque profil (Domaine, Privé, Public), configurez la journalisation :
5. Cliquez sur Personnaliser à côté de Journalisation
6. Définissez les options suivantes :
   • Journaliser les paquets abandonnés : Oui
   • Journaliser les connexions réussies : Oui (facultatif, pour comparaison)
   • Limite de taille : Augmentez à 32768 Ko ou plus
   • Chemin du fichier : Notez l'emplacement (typiquement %SystemRoot%\System32\LogFiles\Firewall\pfirewall.log)
7. Cliquez sur OK pour appliquer les paramètres

Utilisez PowerShell pour configurer la journalisation de manière programmatique :

# Activer la journalisation du pare-feu pour tous les profils
Set-NetFirewallProfile -Profile Domain,Public,Private -LogAllowed True -LogBlocked True -LogMaxSizeKilobytes 32768

# Vérifier la configuration de la journalisation
Get-NetFirewallProfile | Select-Object Name, LogAllowed, LogBlocked, LogMaxSizeKilobytes, LogFileName

7. Surveillez le fichier journal du pare-feu pour les détails des connexions bloquées en temps réel
8. Utilisez PowerShell pour analyser les journaux du pare-feu :

# Analyser les entrées récentes du journal du pare-feu
$logPath = "$env:SystemRoot\System32\LogFiles\Firewall\pfirewall.log"
Get-Content $logPath -Tail 100 | Where-Object {$_ -like "*DROP*"} | ForEach-Object {
    $fields = $_ -split ' '
    [PSCustomObject]@{
        Date = $fields[0]
        Time = $fields[1]
        Action = $fields[2]
        Protocol = $fields[3]
        SrcIP = $fields[4]
        DstIP = $fields[5]
        SrcPort = $fields[6]
        DstPort = $fields[7]
    }
}

Concentrez-vous sur des applications spécifiques qui sont bloquées pour déterminer si des exceptions de pare-feu sont nécessaires.

1. Identifiez l'application à partir des détails de l'ID d'événement 5157 dans le champ Nom de l'application
2. Vérifiez la légitimité de l'application et ses besoins réseau
3. Vérifiez si l'application a des règles de pare-feu existantes :

# Trouver des règles de pare-feu pour une application spécifique
$appPath = "C:\Program Files\YourApp\app.exe"
Get-NetFirewallApplicationFilter | Where-Object {$_.Program -eq $appPath} | Get-NetFirewallRule | Select-Object DisplayName, Direction, Action, Enabled

4. Créez une nouvelle règle de pare-feu si l'application nécessite un accès réseau :
5. Ouvrez Windows Defender Firewall avec sécurité avancée
6. Cliquez avec le bouton droit sur Règles entrantes ou Règles sortantes et sélectionnez Nouvelle règle
7. Choisissez Programme et spécifiez le chemin de l'application
8. Sélectionnez Autoriser la connexion
9. Choisissez les profils appropriés (Domaine, Privé, Public)
10. Fournissez un nom descriptif pour la règle

Utilisez PowerShell pour créer des règles de pare-feu de manière programmée :

# Créer une règle entrante pour une application spécifique
New-NetFirewallRule -DisplayName "Autoriser MyApp Entrant" -Direction Inbound -Program "C:\Program Files\MyApp\myapp.exe" -Action Allow -Profile Domain,Private

# Créer une règle sortante avec des ports spécifiques
New-NetFirewallRule -DisplayName "Autoriser MyApp Sortant" -Direction Outbound -Program "C:\Program Files\MyApp\myapp.exe" -Protocol TCP -LocalPort 80,443 -Action Allow

10. Testez la fonctionnalité de l'application après avoir créé la règle
11. Surveillez l'ID d'événement 5157 pour confirmer que les blocages sont résolus

Effectuer une analyse approfondie des filtres et des couches de la Windows Filtering Platform pour des scénarios de blocage complexes.

1. Utilisez le Windows Performance Toolkit pour capturer des informations détaillées sur WFP :
2. Installez le SDK Windows ou téléchargez WPT séparément
3. Exécutez l'invite de commande en tant qu'administrateur
4. Capturez les données de trace WFP :

# Démarrer la traçabilité WFP
netsh wfp capture start file=c:\temp\wfp.etl

# Reproduire le problème de connexion bloquée
# Arrêter la traçabilité après avoir reproduit le problème
netsh wfp capture stop

5. Analysez les filtres et les couches WFP à l'aide des commandes netsh :

# Afficher tous les filtres WFP
netsh wfp show filters file=c:\temp\filters.xml

# Afficher les informations spécifiques à une couche
netsh wfp show state file=c:\temp\wfpstate.xml

# Afficher les informations de filtre pour une couche spécifique
netsh wfp show filters layer=FWPM_LAYER_ALE_AUTH_CONNECT_V4

6. Faire une référence croisée de l'ID de filtre de l'événement 5157 avec la sortie du filtre WFP
7. Examiner les conditions et les poids des filtres pour comprendre la logique de blocage
8. Vérifier les filtres conflictuels ou les priorités de filtre inattendues
9. Utiliser PowerShell pour interroger WFP de manière programmatique :

# Obtenir des informations sur les filtres WFP à l'aide de WMI
Get-CimInstance -Namespace root/StandardCimv2 -ClassName MSFT_NetFirewallRule | Where-Object {$_.Action -eq 3} | Select-Object InstanceID, DisplayName, Direction

# Analyser les connexions réseau et leurs états
Get-NetTCPConnection | Where-Object {$_.State -eq 'Listen'} | Select-Object LocalAddress, LocalPort, OwningProcess, @{Name='ProcessName';Expression={(Get-Process -Id $_.OwningProcess).ProcessName}}

10. Examiner les logiciels de sécurité tiers qui pourraient ajouter des filtres WFP
11. Vérifier les paramètres de stratégie de groupe qui pourraient créer des filtres restrictifs
12. Documenter les résultats et créer des modifications complètes des règles de pare-feu