Назад | Перейти на главную страницу

Идентификатор события: 861 - брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

Во-первых, мои машины не скомпрометированы ни один человек, предполагающий, что они будут иметь DV.

Журналы безопасности на некоторых из моих сетевых клиентских машин (все Windows Xp Sp3) заполняются этими бесполезными сообщениями об ошибках.

Security Failure Audit
Detailed Tracking
Event ID: 861
User: NT AUTHORITY\NETWORK SERVICE
The Windows Firewall has detected an application listening for incoming traffic. 

Name: -                                 
Path: C:\WINDOWS\system32\svchost.exe
Process identifier: 976
User account: NETWORK SERVICE
User domain: NT AUTHORITY
Service: Yes
RPC server: No
IP version: IPv4
IP protocol: UDP
Port number: 55035
Allowed: No
User notified: No

Это всегда на разных случайных портах UDP, поэтому настройка исключения порта на самом деле не вариант.

Это всегда из svchost или lsass, оба из которых запускают службы из DLL. Одним из наиболее неприятных процессов является DnsCache.

У меня есть в моей глобальной политике AT <Network <Network Connection <Widnows Firewall <Domain Profile (я не менял никаких стандартных параметров профиля, нужно ли их настраивать?)

Чтобы разрешить удаленное администрирование и исключения рабочего стола и иметь настраиваемый список исключений программ,

%SystemRoot%\system32\svchost.exe:*:enabled:svchost

(Windows не позволит вам добавить это исключение на локальный компьютер, но позволила мне включить его здесь, в глобальной политике, оно просто ничего не делает)

%SystemRoot%\system32\lsass.exe:*enabled:lsass

(Я думаю, что на этом закончились все мои сообщения LSASS)

%SystemRoot%\system32\dnsrslvr.dll:*:enabled:dnscache

(Я пробовал добавить саму dll в список исключений, похоже, ничего не вышло)

Остались ли какие-либо другие варианты, кроме полного отключения брандмауэра Windows, полного отключения аудита или простого изменения средства просмотра событий на автоматическую перезапись при необходимости?

Я бы предпочел исправить проблему и избавиться от этих записей, которые когда-либо создавались, вместо того, чтобы просто пытаться скрыть проблему.

Это происходит, когда «доступ к объекту аудита» настроен на регистрацию ошибок аудита.

В административных инструментах запустите «локальную политику безопасности», перейдите к локальным политикам \ политике аудита и настройте ее на отсутствие аудита. Затем запустите gpupdate.exe.

При этом подумайте, какую информацию вы можете потерять, не проверяя отказы доступа к объектам, и что требует ваша политика безопасности.