我局域网内的某台计算机一直在攻击域控制器,并出现事件 4768(身份验证失败)。在与该计算机的“所有者”协商后,发现该计算机中存在恶意软件。
我们计划将重要数据(文件)复制到新建的服务器上,然后删除这台服务器。与此同时,我想从 DC 完全阻止它。但是,添加新的入站规则(除了“远程地址”外没有明确指定,我在“远程地址”中输入了计算机的 IP 地址)似乎没有帮助;事件 4768 不断出现。
我哪里做错了?为什么 Windows 防火墙不阻止受感染的计算机?
顺便说一下,有问题的 DC 是 Windows Server 2008 R2。
答案1
好吧,我真傻。有人通过 GPO 关闭了 Windows 防火墙。我一打开它,一切就都正常了。
现在请原谅我,我要找出肇事者是谁......