Jump to content
Vincent_111

KES10 & filtre Windows Filtering Platform

Recommended Posts

Bonjour,

nous avons un flux UDP d'une machine A vers une machine B, transmettant un message toutes les secondes (protocole propriétaire). Les 2 machines sont sous Windows 10.

Sur la machine B, recevant les messages, nous remarquons dans le journal d'événements de sécurité de Windows10 que l'événement ID=5157 (la plateforme de filtrage Windows a bloqué une connexion), apparaît toutes les secondes.

Le filtre associé à ce message a pour ID 73201 correspondant au filtre "Kaspersky Lab WFP ALE auth accept V4 Filter".

L'application recevant cette connexion est bien ciblée, et est la notre. Il ne s'agit pas d'une attaque.

Question : comment ne plus avoir ces messages, provenant de l'audit avancé Windows "Accès à l'objet \ Auditer la connexion de la plateforme de filtrage", configuré à "Échec", sachant que nous ne voulons pas désactiver cet audit.

Nous avons essayé de mettre notre application en tant qu'application de confiance, sans analyse réseau, mais cela ne change rien.

Y a-t-il un paramètre dans KES10 pour désactivé ce filtre ?

Cordialement

Edited by Vincent_111

Share this post


Link to post

Bonjour Vincent_111,

as-tu tenté de désactiver un des deux composants "Pare feu" ou "Network Attack Blocker" ? Lequel des deux est à l'origine du blocage pour le coup ?

Je ne saurais trop te conseiller de vérifier que ton réseau (LAN) est bien paramétré en "Réseau de confiance" dans les propriétés du Pare Feu de ta solution KES 10.

==> Interface locale de KES > Configuration > Pare feu > Réseaux disponibles > Réseaux

ou

==> Propriétés de ta stratégie > Pare feu > Réseaux disponibles > Réseaux

Tiens nous au courant ! ;)

Share this post


Link to post

Bonjour Scal,

merci pour la réponse, mais dans notre configuration nous n'utilisons pas le composant "Pare feu", donc les filtres WFP ne viennent pas de là.

En revanche le composant "Network Attack Blocker" est bien utilisé, ça vient peut être de ce composant.

Mais j'ai un doute car sur une autre machine, dans un contexte différent, le même filtre "Kaspersky Lab WFP ALE auth accept V4 Filter" est visible dans les logs, alors que le composant n'est pas installé...

Peux-tu te renseigner à quel composant est rattaché ce filtre ?

Nous créons des packages autonomes pour nos machines. Veux-tu que je poste le setup.ini utilisé pour les générer ?

Cordialement.

Share this post


Link to post

Je peux vous demander de mettre en exclusion les adresses IP des machines A et B dans la stratégie / Network Attack Blocker / Exclusions

2ieme point, vous avez des audits events qui remontent mais les requêtes UDP arrivent t-elles à la machine B ?

Cordialement

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.