I'm running into the issue disabling Windows 10 Firewall -- it gets disabled, but after several seconds something enables it back. There were no programs installed or configuration changes mage when this started to happen.
Here is a Screencast demonstrating the issue.
当我通过停止底层服务以硬方式关闭防火墙时,它会被禁用,但是,Cortana 会停止工作...但那是另一个故事。
有任何想法吗?
更新 1. 事件日志
关闭后,我看到有两个事件日志条目。
A Windows Firewall setting in the Public profile has changed.
New Setting:
Type: Enable Windows Firewall
Value: No
Modifying User: EUGENE-PC\nrj
Modifying Application: C:\Windows\System32\dllhost.exe
13 秒后,某些东西将配置重置为默认值……
Windows Firewall has been reset to its default configuration.
ModifyingUser: SYSTEM
ModifyingApplication: C:\Windows\SysWOW64\netsh.exe
更新 2. 审计流程跟踪结果
启用审计过程跟踪后,这里是自动防火墙启用留下的痕迹。
A new process has been created.
Creator Subject:
Security ID: SYSTEM
Account Name: EUGENE-PC$
Account Domain: NGROUP
Logon ID: 0x3E7
Target Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Process Information:
New Process ID: 0x1ae4
New Process Name: C:\Windows\SysWOW64\netsh.exe
Token Elevation Type: %%1936
Mandatory Label: Mandatory Label\System Mandatory Level
Creator Process ID: 0x798
Creator Process Name: C:\Windows\SysWOW64\cmd.exe
Process Command Line:
更新3.解决方案!
利用 Scott Chamberlain 的建议,我终于找到了执行启动路径并找到了罪魁祸首!
以下是可以解决这个问题的事件日志条目。
A new process has been created.
Creator Subject:
Security ID: SYSTEM
Account Name: EUGENE-PC$
Account Domain: NGROUP
Logon ID: 0x3E7
Target Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Process Information:
New Process ID: **0x1950**
New Process Name: C:\Windows\SysWOW64\cmd.exe
Token Elevation Type: %%1936
Mandatory Label: Mandatory Label\System Mandatory Level
Creator Process ID: 0xca0
Creator Process Name: **C:\Program Files (x86)\TunnelBear\TBear.Maintenance.exe**
Process Command Line:
然后输入 netsh run 并以 ID 为进程启动0x1950!
Process Information:
New Process ID: 0x21b4
New Process Name: C:\Windows\SysWOW64\netsh.exe
Token Elevation Type: %%1936
Mandatory Label: Mandatory Label\System Mandatory Level
Creator Process ID: 0x1950
Creator Process Name: C:\Windows\SysWOW64\cmd.exe
Process Command Line:
这就是让我疯狂的“英雄”:https://www.tunnelbear.com/。
答案1
虽然这实际上不是一个解决方案,但它可以帮助您找出原因。
运行“事件查看器”应用检查事件日志。前往Applications and Services logs -> Microsoft -> Windows -> Windows Firewall with Advanced Security并查看防火墙日志。
每当启用或禁用防火墙时,该日志都应记录类似以下内容的事件
公共配置文件中的 Windows 防火墙设置已更改。
新设置:
类型:启用 Windows 防火墙
价值:是
修改用户:MyMachine\srchamberlain
修改应用程序:C:\Windows\System32\dllhost.exe
您可以检查该Modifying Application属性以查看哪个应用程序启动了防火墙更改。
更新 1:
因此,似乎有些东西正在netsh半定期运行。我会Applications and Services logs -> Microsoft -> Windows -> TaskScheduler -> Operational在事件查看器中检查它是否是计划任务执行的。
如果这没有显示它正在运行secpol.msc并启用审计过程追踪要查看谁启动了netsh,一旦启用,您可以转到Windows Logs -> Security并找到该过程的“审核成功”条目。
下面是我手动启动notepad.exe它的一个例子。
已创建新流程。
創作者主題:
安全 ID:MyMachine\srchamberlain
帐户名称:srchamberlain
帐户域:MyMachine
登录 ID:0x71FA757
目标主题:
安全 ID:NULL SID
帐户名称: -
帐户域:-
登录 ID:0x0
处理信息:
新进程 ID:0x1510
新进程名称:C:\Windows\System32\notepad.exe
令牌提升类型:%%1938
强制标签:强制标签\中等强制等级
创建者进程 ID:0x938
创建者进程名称:C:\Windows\explorer.exe
进程命令行:
我们最感兴趣的是Creator Process Name