Определенный компьютер в моей локальной сети забивает контроллер домена с событием 4768 (ошибка аутентификации). Посоветовавшись с «владельцем» этого компьютера, выяснилось, что на этом компьютере есть вредоносное ПО.
Мы планируем скопировать важные данные (файлы) на только что построенный сервер и запереть этот. А пока я хочу полностью заблокировать его от DC. Однако добавление нового правила для входящих подключений (ничего явно не указано, кроме «Удаленного адреса», в который я помещаю IP-адрес компьютера), похоже, не помогает; событие 4768 продолжает появляться.
Где я неправ? Почему брандмауэр Windows не блокирует зараженный компьютер?
Между прочим, рассматриваемый DC - это Windows Server 2008 R2.
Ладно, глупый я. Кто-то отключил брандмауэр Windows через GPO. Как только снова включаю, все идет хорошо.
А теперь извините, пока я выясню, кто преступник ...