Я работаю над настройкой защищенного сервера приложений с включенным брандмауэром Windows.
ОС - 2008 R2. Мы используем расширенные настройки брандмауэра и используем аутентификацию IPSec и Kerberos, если это необходимо. Один из моих других хостов (192.168.100.21) должен подключиться к моему серверу (192.168.100.29), чтобы мое приложение работало правильно. Если я разрешаю весь входящий трафик с этого IP-адреса, он будет работать безупречно. К сожалению, это не соответствует моим нормативным требованиям.
События аудита показывают, что выполняется попытка подключения к svchost, однако она не удалась. Как я могу определить, к каким службам осуществляется доступ?
Я использовал приведенный ниже аудит отладки, чтобы определить поведение svchost.
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Driver" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Main Mode" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Quick Mode" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Extended Mode" /success:enable /failure:enable
Как вы знаете, SVCHOST - это просто зонтичная служба для базовых служб, большинство из которых проявляются как библиотеки DLL, а не EXE. Если бы это был я, я бы использовал три инструмента Microsoft SysInternals и TASKLIST:
Итак, как только вы увидели активность TCP / UDP и знаете, на какой SVCHOST ссылается, и вы знаете, какие порты, вы можете использовать TASKLIST, чтобы увидеть, какие службы размещаются этим SVCHOST (список задач / svc / fi "imagename eq svchost.exe"), а затем, используя номер порта, точно определите, какая это служба.
В любом случае это был бы мой подход. Удачи.