首先,我的机器没有受到任何损害,任何提出此类建议的人都会被 DV 感染。
我的一些网络客户端计算机(所有 Windows XP Sp3)上的安全日志充满了这些无用的错误消息。
Security Failure Audit
Detailed Tracking
Event ID: 861
User: NT AUTHORITY\NETWORK SERVICE
The Windows Firewall has detected an application listening for incoming traffic.
Name: -
Path: C:\WINDOWS\system32\svchost.exe
Process identifier: 976
User account: NETWORK SERVICE
User domain: NT AUTHORITY
Service: Yes
RPC server: No
IP version: IPv4
IP protocol: UDP
Port number: 55035
Allowed: No
User notified: No
它总是位于 UDP 的各种随机端口上,因此设置端口例外并不是真正的选择。
它总是来自 svchost 或 lsass,这两个进程都运行来自 DLL 的服务。最令人讨厌的进程之一似乎是 DnsCache。
我的全局策略中有 AT < 网络 < 网络连接 < Widnows 防火墙 < 域配置文件(我没有更改任何标准配置文件选项,是否两者都需要配置?
允许远程管理和桌面例外,并拥有自定义程序例外列表,其中包含
%SystemRoot%\system32\svchost.exe:*:enabled:svchost
(Windows 不允许您在本地机器上添加此例外,但它允许我在全局策略中添加它,但它似乎什么也不做)
%SystemRoot%\system32\lsass.exe:*enabled:lsass
(我认为这条消息结束了我所有的 LSASS 消息)
%SystemRoot%\system32\dnsrslvr.dll:*:enabled:dnscache
(我尝试将 dll 本身添加到例外列表中,但这似乎没有任何作用)
除了完全禁用 Windows 防火墙、完全禁用审核或仅将事件查看器更改为在需要时自动覆盖之外,还有其他选择吗?
我宁愿修复问题并删除这些创建的条目,而不是试图掩盖问题。
答案1
当设置“审计对象访问”以记录审计失败时,就会发生这种情况。
在管理工具下,启动“本地安全策略”,导航到本地策略\审核策略,并将其设置为无审核。然后,运行 gpupdate.exe。
话虽如此,请考虑一下如果不审核对象访问失败您可能会丢失哪些信息,以及您的安全策略要求什么。