Änderung der Protokollierung in windows-security-auditing fällt sofort zurück

[Sopracenery]

Hallo,

bei mir läuft das Windows Security Protokoll immer voll, weil alle Sekunde ein Eintrag

„Überwachung erfolgreich, microsoft-windows-security-auditing, ID 5156, Von der Windows-Filterplattform wurde eine Verbindung zugelassen“

generiert wird.

Das wollte ich abstellen mit dem Kommando

auditpol /set /subcategory:Filterplattformverbindung /success:disable

Aber nach wenigen Sekunden hat der TrustedInstaller das wieder zurück gesetzt und das Protokoll läuft wieder voll mit diesen Meldungen!

(Kurz nach dem Absetzen des cmd liefert der /Get wie gewünscht „Filterplattformverbindung Fehler“ und dann wieder wie vorher „Filterplattformverbindung Erfolg und Fehler“)

Kann mir bitte jemand sagen, wie ich das abstellen kann?
Wenn der Erfolg nicht mehr protokolliert wird, dann wäre das Protokoll wieder nutzbar.

Gibt es eine Einstellung, die das Zurücksetzen auf den Vorzustand verhindert?


Siehe auch alten Thread

https://www.computerbase.de/forum/t...-microsoft-windows-security-auditing.2188875/

 

[lleser]

Hattest Du denn darauf geachtet, den Befehl in einer Administrativen Console auszuführen?

Ansonsten: ist das ev. eine Pro Version von windows bzw. ist der PC in einer Domäne?

Falls es eine PRO Version ist kannst du mal aus der Console gpedit.msc aufrufen und dort schauen, wie die Lokale Gruppenrichtline eingestellt ist.

Computerkonifg. | Windows-Einst. | Sicherheitseinst. | Erweiterte Überwachungskonfig. | Objektzugriff | Windows-Filterplattformverbindung

 

[Sopracenery]

Ja, das habe ich als Admin bzw. sogar als TrustedInstaller in einer PRO Installation aufgerufen.

Die Idee mit der Gruppenrichtlinie ist gut!
Irgendwo dort muss etwas aktiv gegen mich arbeiten.
Ich habe aber keine Änderung in der Richtlinie veranlasst. Dort steht „Nicht konfiguriert“.

Wenn ich aber über die GPO an der Einstellung „Systemüberwachungsrichlinien/Objektzugriff/Filterplattformverbindung überwachen“ etwas eintrage, dann wird im Protokoll sofort eine Revision auf den alten Zustand angezeigt.

Das sieht dann im Protokoll so aus (4719=Audit Policy Change):

ID 4719 Filterplattformverbindung, Änderung: Erfolg entfernt, Fehler entfernt (das war ich)

Und dann 9 Sekunden später

ID 4719 Filterplattformverbindung, Änderung: Erfolg hinzugefügt, Fehler hinzugefügt (das war ich nicht!)

Also macht vermutlich eine andere Richtlinie meine Änderung wieder rückgängig.
Jetzt wäre es gut zu wissen, welche Richtlinie das macht. Dann würde ich an die rangehen.

 

[SPB]

Vielleicht kann man über secpol.msc (Lokale Sicherheitsrichtlinien) besser an diese Einstellung ran.
Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinien >
Systemüberwachungsrichtlinien-Lokales Gruppenrichtlinienobjekt > Objektzugriff >...

 

[lleser]

Welche Richtlinien aktiv sind sieht man mit folgendem Befehl: gpresult /R

Aber wenn der PC nicht in einer Domäne ist, ist das wahrscheinlich immer nur die Lokale Richtlinie.

Ev. ist irgendein "Sicherheitsprogramm" was nicht zu Windows gehöhrt im Hintergrund tätig - vielleicht mal schauen ob etwas im Autostart ist (z.B. über den Taskmanager), was die Überwachung hochdreht.

 

[Sopracenery]

Secpol.msc zeigt keinerlei gesetzte Werte. Alles steht auf „Nicht konfiguriert“
Nur bei „Systemüberwachungsrichlinien/Objektzugriff/Filterplattformverbindung überwachen“
sehe ich „Keine Überwachung“. Aber das ist Blödsinn. Denn genau hier wird ja tatsächlich gegen meinen Willen überwacht und das Protokoll hat ja auch die Änderungen ID 4719 gemeldet.

auditpol /get zeigt:
„Filterplattformverbindung Erfolg und Fehler“

gpresult zeigt für den aktuellen User nichts an.: nur

• Angewendete Gruppenlinienobjekte: Nicht zutreffend
• Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen …

Ich habe kein Sicherheitsprogramm installiert. Nur Windows11FirewallControl von sphinx-soft.com ist aktiv.
Diesem Programm habe ich zur Sicherheit gesagt, dass ich vorerst auch dort keinerlei Protokollierung will.


Gibt es im Standard von Windows einen Prozess/GPO der nach wenigen Sekunden etwas wieder zurückdreht?

Ergänzung (10. Januar 2026)

Ich habe kein Sicherheitsprogramm installiert. Nur Windows11FirewallControl von sphinx-soft.com ist aktiv.
Diesem Programm habe ich zur Sicherheit gesagt, dass ich vorerst auch dort keinerlei Protokollierung will.

Das mit dem Sagen ist so eine Sache…
Tatsächlich ist das Problem jetzt weg, nachdem ich das Programm Windows11FirewallControl beendet habe.

Insofern besten Dank an lleser
Das hat geholfen.

Ich habe jetzt zwar noch keine Lösung. Aber die Ursache ist jetzt zumindest bekannt.

 

[Sopracenery]

Die Hotline von Windows11FirewallControl hat geantwortet:
Man muss auf globaler Ebene und nicht auf der Ebene einzelner Programme setzen, dass erlaubte Events nicht protokolliert werden sollen. Es gibt hier wie dort die namensgleiche Option „Disable Logging of Allowed Events“

abstract:

that was really much more easy than expected.

Option in program related settings for „System“ was not successful and did change nothing
—> [X] Disable Logging of Allowed Events

Option in global settings made the change
—> [X] Disable Logging of Allowed Events

unfortunately then there is no more logging in W11FC at all for allowed connections.
So I’m blind for this type of information.