今天在其中一台服务器上注意到,事件查看器/安全性有很多"Failure audit"这样的消息:
该消息每秒重复一次,端口号增加一,端口范围从1025到5000然后再来一遍。对我来说,这样的“端口扫描”看起来相当可疑!
我尝试运行 TCPView 来了解更多详细信息,但它仅显示进程、其 ID 和端口。spoolsv.exe 这样做是故意的吗?还是某种恶意软件?有人见过这种情况吗?
文件服务器和打印服务器角色安装在服务器上。
答案1
好吧,在定义了默认和非默认打印监视器之后,我们实际上备份了它们,然后删除了所有非标准打印监视器,随后打印后台处理程序服务重新启动。此后,事件查看器中不再有事件,到目前为止,我们还没有收到任何来自最终用户的投诉。
以下是默认打印监视器的列表:
- BJ语言监控
- 本地端口
- PJL 语言监控器
- 标准 TCP/IP 端口
- USB监视器