Windows 过滤平台过滤器已更改 - 文件和打印机共享

tag-icon tag-icon security windows-server-2008-r2 windows-firewall
Windows 过滤平台过滤器已更改 - 文件和打印机共享

我的 Windows 2008 R2 服务器遭到大量登录尝试。
我猜有人在进行暴力攻击。
有趣的是,我们的 MySQL 配置文件昨晚被删除了,所以他们一定是以某种方式进入的。但与此同时,我的事件日志中充满了以下消息:

A Windows Filtering Platform filter has been changed.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       NT AUTHORITY\LOCAL SERVICE

Process Information:
    Process ID: 1184

Provider Information:
    ID:     {decc16ca-3f33-4346-be1e-8fb4ae0f3d62}
    Name:       Microsoft Corporation

Change Information:
    Change Type:    Delete

Filter Information:
    ID:     {3798315c-c633-46ee-8421-89dab23673e9}
    Name:       File and Printer Sharing (Spooler Service - RPC-EPMAP)
    Type:       Not persistent
    Run-Time ID:    3444308

Layer Information:
    ID:     {e1cd9fe7-f4b5-4273-96c0-592e487b8650}
    Name:       ALE Receive/Accept v4 Layer
    Run-Time ID:    44

Callout Information:
    ID:     {00000000-0000-0000-0000-000000000000}
    Name:       -

Additional Information:
    Weight: 10378404878664860156    
    Conditions: 
    Condition ID:   {af043a0a-b34d-4f86-979c-c90371af6e66}
    Match value:    Equal to
    Condition value:    
O:SYG:SYD:(A;;CCRC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)


    Condition ID:   {0c1ba1af-5765-453f-af22-a8f791ac775b}
    Match value:    Equal to
    Condition value:    0x0087

    Condition ID:   {46ea1551-2255-492b-8019-aabeee349f40}
    Match value:    Equal to
    Condition value:    0x00000003

    Condition ID:   {ab3033c9-c0e3-4759-937d-5758c65d4ae3}
    Match value:    Equal to
    Condition value:    0x00000003

    Condition ID:   {3971ef2b-623e-4f9a-8cb1-6e79b806b9a7}
    Match value:    Equal to
    Condition value:    0x06

    Filter Action:  Permit

不幸的是,我的托管公司反应迟钝,帮助不大。他们唯一的反应是更改我的密码... 有人知道他们的意思以及他们来自哪里吗?我猜是 Windows 防火墙规则。但这是正常的吗?或者这是什么意思?

答案1

你的问题涉及很多不同的事情。我会分别回答。


我的 Windows Server 2008 R2 服务器遭到大量登录尝试。我猜有人在进行暴力攻击。

一般建议是:不要猜测。要了解。计算机系统极其复杂。优秀的系统管理员应首先识别所有症状,测试可重复性,收集证据,然后对潜在问题做出合理的假设。只有非常幸运,猜测和检查方法才会奏效。

您应该查看事件日志,并将登录尝试与上游提供商的 IDS 信息关联起来。这可能是暴力登录攻击,可能是服务帐户的密码被更改,也可能是应用程序不再具有适当的权限?原因可能有很多。

最后也是最重要的一点 - 为什么你的服务器会暴露在 Big Bad Internet 中?真的应将其置于防火墙或 VPN 后面。


有趣的是,我们的 MySQL 配置文件昨晚被删除了,所以他们一定是以某种方式进入了我们的系统。

这有点搞笑,但你确定是入侵者吗?也许你不小心删除了它?再说一遍,不要猜测。要知道。你在审核文件访问吗?所有权变更?你至少应该能够更好地了解你的配置文件突然更改或丢失了什么。


Windows 筛选平台

查看 MSDN 以获取有关以下信息Windows 筛选平台

WFP 提供 API,以便您可以参与在 TCP/IP 协议堆栈的多个层上进行的过滤决策。WFP 还集成并支持下一代防火墙功能,例如经过身份验证的通信和基于应用程序对 Windows 套接字 API 的使用的动态防火墙配置。此功能也称为基于应用程序的策略。

我相信你发布的例子是删除文件和打印机共享 (Spooler Service - RPC-EPMAP) 的 PERMIT 过滤器。如果您多读一些资料,应该能够确认这一点。我认为此特定事件与您可能遇到的安全问题无关(但这并不意味着其他 WFP 事件也与此无关!)。


您的服务器是否受到了威胁?

在拉响警报之前,请进行一些调查,使用您的支持选项,并确认您的服务器已的确已被破解。请阅读有关该主题的典型问题,以帮助您完成该过程:我该如何处理受到感染的服务器?。 祝你好运!

相关内容