Windows でのポート スキャン防止フィルターの動作

この記事では、Windows Server 2008 以降のバージョンの Windows のポート スキャン防止フィルターの機能について説明します。 また、wfpdiag.etl ログにアクティビティがある場合に大量のディスク I/O を生成する、設計上の動作の回避策も含まれています。

適用対象: Windows Server 2012 R2
元の KB 番号: 3044882

現象

次のような状況で問題が発生します。

• サーバーにカスタム ネットワーク アプリケーションがインストールされている。
• アプリケーションは、ネットワーク上の多数のトラフィックをキャプチャします。
• サーバーが DHCP 割り当て IP アドレスを使用している可能性があります。

このシナリオでは、C:\Windows\System32\wfp\wfpdiag.etl ログへの書き込みが行われると、大量のディスク I/O が生成される可能性があります。

原因

この動作は仕様です。 ポート スキャン防止フィルターがトリガーされると、これは通常、ポートでリッスンするプロセスがないことを意味します。 (セキュリティ上の理由から、WFP はプロセスのリッスンをブロックします)。リスナーが存在しないポートで接続が試行されると、WFP はパケットをポート スキャナーから送信されたかのように認識するため、接続をサイレント ドロップします。

リスナーが存在し、パケットまたは認証の形式が正しくないために通信がブロックされた場合、ドロップされたイベントは "DROP" (サイレントではない) として一覧表示され、WFP ログは別のフィルター ID と名前を示します。

このフィルターは、Windows ファイアウォールおよび高度なセキュリティ (WFAS) に組み込まれています。 これは、Windows Vista、Windows Server 2008、およびそれ以降のバージョンの Windows に含まれています。

回避策

この問題を回避するには、次のいずれかの方法を使用して WFP ログ記録を無効にします。

• 管理者特権のコマンド プロンプトから次の Netsh コマンドを実行して、WFP ログを無効にします。

  netsh wfp set options netevents=off
  

• レジストリで WFP ログ記録を無効にします。 これを行うには、次の手順を実行します。

  1. レジストリ エディターを起動します。
  2. 次のレジストリ サブキーを見つけます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Options
  3. サブキーを右クリックし、[ 新規] をクリックし、DWORD (32 ビット) レジストリ値を作成します。
  4. レジストリ値の名前として 「CollectNetEvents 」と入力します。
  5. 値データは 0 のままにします。
  6. サーバーを再起動します。

詳細

詳細については、「セキュリティが 強化された Windows ファイアウォールのステルス モード」を参照してください。