5031 (F) :Windows防火墙服务阻止应用程序接受网络上传入的连接。
2021/6/1
本文内容
适用范围
Windows 10
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
事件说明:
当应用程序被筛选平台 阻止接受网络传入连接时,Windows此事件。
如果特定应用程序的 Windows 防火墙中没有任何防火墙规则 (允许或拒绝) ,你将从Windows筛选平台层获取此事件,因为默认情况下,此层拒绝任何传入连接。
注意事项 有关建议,请参阅此事件的安全监控建议。
事件 XML:
-
-
5031
0
0
12810
0
0x8010000000000000
304373
Security
DC01.contoso.local
-
Domain
C:\\documents\\listener.exe
所需的服务器角色: 无。
操作系统的最低版本: Windows Server 2008、Windows Vista。
事件版本: 0。
字段描述:
Profiles [Type = UnicodeString]:使用阻止的应用程序的网络配置文件。 可能值:
域
Public
Private
Application [Type = UnicodeString]:阻止的应用程序的可执行文件的完整路径和文件名。
安全监控建议
对于 5031 (F) :Windows防火墙服务阻止应用程序接受网络上传入的连接。
可以使用此事件检测未创建防火墙Windows的应用程序。
如果您有一个预定义的应用程序,应该用于执行此事件报告的操作,请监视 "Application" 不等于已定义应用程序的事件。
你可以监视以查看"应用程序"是否不在标准文件夹 (例如,不在 System32 或 Program Files) 中或是否位于受限文件夹 (例如,临时 Internet 文件) 。
如果应用程序名称 (中预定义了受限子字符串或单词的列表 (例如 "mimikatz" 或** "cain.exe") , **请检查 "Application" 中的这些子字符串。