Windows Filtering Platform Hotfix [Event ID 5159]

Blad w zasadzie niezauwazalny. Do czasu… az w efekcie cos przestanie dzialac. Jak sie okazalo zdarzenie 5159 pojawia sie w Security Event Logu dobre kilkaset razy. A wszystko dlatego, ze Windows Filtering Platform* niepoprawnie loguje zdarzenia blokowania powiazania z portem… mimo, ze blokowanie nie nastepuje. Blad znany jako bug – niedawno wypuszczono dla niego Hotfix opisany w KB969257. To tak w skrócie.

Sytuacja zdarzyla sie w pracy – wydala mi sie jednak na tyle ciekawa, ze uznalam, ze warto ja opisac. Dostaje informacje od kolegi, ze mimo iz wylaczyl firewall na wszystkich profilach, nie moze dostac sie do CA (w tym przypadku aplikacja nie mogla sie wydostac przez port lokalny). Wkleja mi ten oto log:

Nic nie dziala, choc na 100% powinno dzialac :). No to moze trzeba zatrzymac usluge Base Filtering Engine**? Nie pomoglo. Cos jest ewidentnie nie tak (tu zazwyczaj sie siega do wyszukiwarek). Okazuje sie, ze nie tylko my mamy taki problem, dosc pocieszajace. Hotfix nie powinien byc instalowany na systemach, których ten problem nie dotyka. Systemy, na których problem moze wystapic to:

· Windows Server 2008

· Windows Server 2008 Service Pack 2

· Windows Vista Service Pack 1

· Windows Vista Service Pack 2

https://support.microsoft.com/kb/969257

Obejsciem problemu jest wlaczenie firewall’a albo wylaczenie polityki audytowania "Filtering Platform Connection".

*Windows Filtering Platform (WFP) to nic innego jak zestaw API i uslug systemowych stanowiacych platforme do tworzenia filtrujacych aplikacji sieciowych. Pozwala developerom na prace z pakietami. „Nowy” Windows Firewall wbudowany w Windows Vista i Windows Server 2008 opiera sie na Windows Filtering Platform, nie nalezy jednak traktowac tych pojec zamiennie.

**Base Filtering Engine (BFE) to usluga, która nadzoruje Windows Filtering Platform (raportuje, zarzadza uprawnieniami).

Autor: Paula Januszkiewicz