Поведение фильтра предотвращения сканирования портов в Windows

  • Статья

В этой статье описаны функциональные возможности фильтра предотвращения сканирования портов в Windows Server 2008 и более поздних версиях Windows. Он также включает обходной путь для поведения путем разработки, которое создает большое количество дисковых операций ввода-вывода при наличии действий в журнале wfpdiag.etl.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 3044882

Симптомы

Рассмотрим следующий сценарий.

  • На сервере установлено пользовательское сетевое приложение.
  • Приложение фиксирует большой объем трафика по проводу.
  • Сервер может использовать IP-адрес, назначаемый DHCP.

В этом сценарии при записи в журнал C:\Windows\System32\wfp\wfp\wfpdiag.etl может быть создан большой объем операций ввода-вывода на диске.

Причина

Такое поведение является особенностью данного продукта. Когда активируется фильтр предотвращения сканирования портов, это обычно означает, что процесс прослушивания порта не выполняется. (По соображениям безопасности ВПП блокирует прослушивание процесса.) При попытке подключения на порте, где нет прослушивателя, ПРОГРАММА ВПП распознает пакет так, как если бы он был получен от сканера портов, и поэтому автоматически удаляет подключение.

Если прослушиватель был, а обмен данными был заблокирован из-за неправильно сформированных пакетов или проверки подлинности, событие, отброшенное событие будет указано как DROP (не автоматическое), а ведение журнала ВПП будет указывать другой идентификатор и имя фильтра.

Этот фильтр встроен в брандмауэр Windows и расширенную безопасность (WFAS). Он входит в состав Windows Vista, Windows Server 2008 и более поздних версий Windows.

Обходной путь

Чтобы обойти эту проблему, отключите ведение журнала ВПП с помощью одного из следующих методов:

  • Отключите ведение журнала ВПП, выполнив следующую команду Netsh из командной строки с повышенными привилегиями:

    netsh wfp set options netevents=off

  • Отключите ведение журнала ВПП в реестре. Для этого выполните следующие действия:

    1. Откройте редактор реестра.
    2. Найдите следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Options
    3. Щелкните правой кнопкой мыши подраздел, выберите Создать, а затем создайте значение реестра DWORD (32-разрядное).
    4. Введите CollectNetEvents в качестве имени значения реестра.
    5. Оставьте значение 0.
    6. Перезапустите сервер.

Примечание.

Отключив ведение журнала ВПП, это только останавливает ведение журнала действий МПП в wfpdiag.etl. Фильтр предотвращения сканирования портов продолжает работать в обычном режиме.

Дополнительная информация

Дополнительные сведения см. в разделе Режим скрытия в брандмауэре Windows в режиме повышенной безопасности.