Назад | Перейти на главную страницу

Фильтр платформы фильтрации Windows был изменен - ​​общий доступ к файлам и принтерам

Мой сервер Windows 2008 R2 подвергается множеству попыток входа в систему.
Я предполагаю, что кто-то проводит атаку грубой силы.
Довольно забавно, что наш файл конфигурации MySQL был удален вчера вечером, так что они, должно быть, каким-то образом попали внутрь. Но в то же время мой журнал событий полностью состоит из следующих сообщений:

A Windows Filtering Platform filter has been changed.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       NT AUTHORITY\LOCAL SERVICE

Process Information:
    Process ID: 1184

Provider Information:
    ID:     {decc16ca-3f33-4346-be1e-8fb4ae0f3d62}
    Name:       Microsoft Corporation

Change Information:
    Change Type:    Delete

Filter Information:
    ID:     {3798315c-c633-46ee-8421-89dab23673e9}
    Name:       File and Printer Sharing (Spooler Service - RPC-EPMAP)
    Type:       Not persistent
    Run-Time ID:    3444308

Layer Information:
    ID:     {e1cd9fe7-f4b5-4273-96c0-592e487b8650}
    Name:       ALE Receive/Accept v4 Layer
    Run-Time ID:    44

Callout Information:
    ID:     {00000000-0000-0000-0000-000000000000}
    Name:       -

Additional Information:
    Weight: 10378404878664860156    
    Conditions: 
    Condition ID:   {af043a0a-b34d-4f86-979c-c90371af6e66}
    Match value:    Equal to
    Condition value:    
O:SYG:SYD:(A;;CCRC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)


    Condition ID:   {0c1ba1af-5765-453f-af22-a8f791ac775b}
    Match value:    Equal to
    Condition value:    0x0087

    Condition ID:   {46ea1551-2255-492b-8019-aabeee349f40}
    Match value:    Equal to
    Condition value:    0x00000003

    Condition ID:   {ab3033c9-c0e3-4759-937d-5758c65d4ae3}
    Match value:    Equal to
    Condition value:    0x00000003

    Condition ID:   {3971ef2b-623e-4f9a-8cb1-6e79b806b9a7}
    Match value:    Equal to
    Condition value:    0x06

    Filter Action:  Permit

Моя хостинговая компания, к сожалению, очень не отвечает и не очень помогает. Их единственный ответ - сменить мой пароль ... Кто-нибудь знает, что они означают и откуда они? Я думаю, это правила брандмауэра Windows. Но это нормально или что это значит?

В вашем вопросе происходит куча разных вещей. Я обращусь к ним отдельно.


Мой сервер Windows Server 2008 R2 получает множество попыток входа в систему. Я предполагаю, что кто-то проводит атаку грубой силы.

Общий совет: не гадайте. Знаю. Компьютерные системы чрезвычайно сложны. Хороший системный администратор должен начать с выявления всех симптомов, проверки повторяемости, сбора доказательств и затем сделать разумные предположения о том, в чем заключается основная проблема. Метод «Угадай и проверь» будет работать, только если вам очень повезет.

Вам следует просмотреть журнал событий и сопоставить попытки входа в систему с информацией IDS вашего вышестоящего провайдера. Может быть, это атака грубой силы при входе в систему, может быть, это учетная запись службы, пароль которой был изменен, может быть, это приложение, у которого больше нет соответствующих прав? Это могло быть много чего.

И наконец, самое главное - почему ваш сервер вообще подвержен влиянию большого плохого Интернета? Вы действительно он должен быть за брандмауэром или VPN.


Довольно забавно, что наш файл конфигурации MySQL был удален вчера вечером, так что они, должно быть, каким-то образом проникли.

Это немного забавно, но опять же, вы уверены, что это был злоумышленник? Может случайно удалили? Опять же, не угадай. Знаю. Вы проверяете доступ к файлам? Смена владельца? Вы должны иметь возможность хотя бы лучше понять, какой файл конфигурации был внезапно изменен или пропущен.


Платформа фильтрации Windows

Посетите MSDN для получения информации о Платформа фильтрации Windows:

WFP предоставляет API-интерфейсы, чтобы вы могли участвовать в принятии решений о фильтрации, которые происходят на нескольких уровнях стека протоколов TCP / IP. WFP также интегрирует и обеспечивает поддержку функций межсетевого экрана нового поколения, таких как аутентифицированная связь и динамическая конфигурация межсетевого экрана, основанная на использовании приложением Windows Sockets API. Эта возможность также известна как политика на основе приложений.

Я считаю, что опубликованный вами пример удаление фильтр PERMIT для общего доступа к файлам и принтерам (служба диспетчера очереди печати - RPC-EPMAP). Если вы прочтете еще немного, то сможете это подтвердить. Я не думаю, что это конкретное событие связано с вашими возможными проблемами безопасности (что не означает, что другие события WFP не связаны!).


Ваш сервер скомпрометирован?

Прежде чем подавать сигнал тревоги, проведите небольшое расследование, задействуйте варианты поддержки и убедитесь, что на вашем сервере на самом деле был скомпрометирован. Прочтите канонический вопрос по теме, чтобы помочь вам в этом процессе: Как мне поступить с взломанным сервером?. Удачи!