É normal obter eventos da Plataforma de Filtragem do Windows no Log de Eventos enquanto o firewall está desativado? Estou no Windows Server 2008 R2 Service Pack 1.
Por exemplo, estou recebendo vários eventos 5156 como este:
The Windows Filtering Platform has permitted a connection.
Application Information:
Process ID: 6012
Application Name: \device\harddiskvolume1\localdomain\syslog\localdomainsyslogserver.exe
Network Information:
Direction: Outbound
Source Address: 127.0.0.1
Source Port: 52207
Destination Address: 127.0.0.1
Destination Port: 1433
Protocol: 6
Filter Information:
Filter Run-Time ID: 0
Layer Name: Connect
Layer Run-Time ID: 48
enquanto "netsh advfirewall" mostra isso:
C:\>netsh advfirewall show allprofiles state
Domain Profile Settings:
----------------------------------------------------------------------
State OFF
Private Profile Settings:
----------------------------------------------------------------------
State OFF
Public Profile Settings:
----------------------------------------------------------------------
State OFF
Ok.
Sei que posso removê-lo, alterando a política de auditoria.