Кажется, мы получаем огромное количество записей в нашем журнале безопасности со следующей информацией: Платформа фильтрации Windows заблокировала соединение.
Исходный IP-адрес и порт меняются для каждой записи, и они происходят каждые несколько минут или каждые несколько секунд.
Это то, о чем мы должны беспокоиться. Причина, по которой мы это заметили, заключается в том, что производительность сервера в пятницу была очень низкой, и при проверке было обнаружено множество таких журналов в журнале безопасности.
Стоит ли нам беспокоиться?
Я не могу точно сказать, стоит ли вам беспокоиться, основываясь на вашем описании, но не обязательно. Платформа фильтрации Windows Server 2008 действительно болтает, особенно если у вас включен аудит. Этот трафик может быть чем угодно, от атаки до клиентских компьютеров, пытающихся обнаружить принтеры.