每当用户登录到机器(8 和 8.1)时,都会创建一条名为“浏览器选择”的防火墙规则和“浏览器选择”的描述。
这是由防火墙服务用户和 svchost.exe 创建的
最终,这会开始创建相当多的规则,并且网络上较慢的机器由于防火墙枚举而开始出现 CPU 使用率高的情况。
防火墙日志中出现了几个事件,都表明防火墙列表中添加了一条新规则。这些规则构成了入站、出站和 3 种防火墙配置文件类型的规则。
以下是其中一个事件日志的示例:
A rule has been added to the Windows Firewall exception list.
Added Rule:
Rule ID: {F79CDB08-DDA3-45C1-A062-B5EB934FADE3}
Rule Name: Browser Choice
Origin: Local
Active: Yes
Direction: Inbound
Profiles: Private,Domain
Action: Allow
Application Path:
Service Name:
Protocol: Any
Security Options: None
Edge Traversal: None
Modifying User: NT SERVICE\MpsSvc
Modifying Application: C:\windows\System32\svchost.exe
我正在尝试追踪实际创建此规则的原因,它会在用户登录并处于开始屏幕时立即发生,无需用户交互。
有人知道是什么原因造成的以及/或者如何禁用它吗?
如果需要任何其他信息,我可以根据需要进行编辑。
答案1
我们最终找到了导致这一现象的原因。
在我们的图像中,有浏览器选择更新 (KB976002)。正是这个更新创建了防火墙规则。通常无法删除此更新,但是将更新的持久性从永久更改为可卸载允许我们卸载更新。
我们通过 GPO 将其推送到机器,并为将来的安装制作了一个干净的映像。这主要只会发生在欧洲人身上,因为浏览器选择更新是为了响应欧盟强加给微软的命令而创建的。该更新已被撤回,2013 年以后的图像应该没问题。
如果您确实需要卸载“永久 Windows 更新”,可以通过以下方式完成:
- 在程序和功能中打开 Windows 安装的更新屏幕
- 识别更新及其 KB 编号
- 浏览到“C:\Windows\servicing\Packages\”
- 找到 KB 并打开相关的 .mum 文件,这些是 XML。
- 找到行“permanency=”permanent”并更改为“permanency="removable"”
感谢 magicandre1981 为我指明了正确的方向。
请注意,它们可能出于正当理由而被设置为永久,在这种情况下,它是为了证明某个观点而恶意的。但这不是主题。通常是因为补丁以不可逆的方式改变了操作,或者与其他补丁集成在一起。
答案2
在 Windows 10 中,如果包含 configurableservicestore,并使用 powershell 进行查询,我会看到每个用户创建了大约 90 条防火墙规则。