首先,我的机器没有受到任何人暗示这将是 DV 的损害。
我的一些网络客户端机器(所有 Windows Xp Sp3)上的安全日志充满了这些无用的错误消息。
Security Failure Audit
Detailed Tracking
Event ID: 861
User: NT AUTHORITY\NETWORK SERVICE
The Windows Firewall has detected an application listening for incoming traffic.
Name: -
Path: C:\WINDOWS\system32\svchost.exe
Process identifier: 976
User account: NETWORK SERVICE
User domain: NT AUTHORITY
Service: Yes
RPC server: No
IP version: IPv4
IP protocol: UDP
Port number: 55035
Allowed: No
User notified: No
它总是在 UDP 的各种随机端口上,因此设置端口例外并不是一个真正的选择。
它总是来自 svchost 或 lsass 两者都从 DLL 运行服务。最令人讨厌的过程之一似乎是 DnsCache。
我的全局策略中有 AT < Network < Network Connection < Widnows Firewall < Domain Profile(我没有更改任何标准配置文件选项都需要配置吗?
允许远程管理和桌面例外,并有一个自定义程序例外列表,其中包含
%SystemRoot%\system32\svchost.exe:*:enabled:svchost
(Windows 不允许您在本地计算机上添加此异常,但它让我在全局策略中将其添加到此处,它似乎没有做任何事情)
%SystemRoot%\system32\lsass.exe:*enabled:lsass
(我认为这个结束了我所有的 LSASS 消息)
%SystemRoot%\system32\dnsrslvr.dll:*:enabled:dnscache
(我尝试将 dll 本身添加到异常列表中,这似乎没有做任何事情)
除了完全禁用 Windows 防火墙、完全禁用审核或只是将事件查看器更改为在需要时自动覆盖之外,真的还有其他选择吗?
我宁愿解决问题并摆脱这些正在创建的条目,而不是仅仅试图掩盖问题。
当“审计对象访问”设置为记录审计失败时会发生这种情况。
在管理工具下,启动“本地安全策略”,导航到本地策略\审核策略,并将其设置为不进行审核。然后,运行 gpupdate.exe。
话虽如此,请考虑不审核对象访问失败可能会丢失哪些信息,以及您的安全策略需要什么。