ประการแรก เครื่องของฉันไม่ได้ประนีประนอมใครก็ตามที่เสนอแนะดังกล่าวจะเป็น DV

บันทึกการรักษาความปลอดภัยในเครื่องไคลเอนต์เครือข่ายของฉัน (Windows Xp Sp3) ทั้งหมดจะเต็มไปด้วยข้อความแสดงข้อผิดพลาดที่ไม่มีประโยชน์เหล่านี้

Security Failure Audit
Detailed Tracking
Event ID: 861
User: NT AUTHORITY\NETWORK SERVICE
The Windows Firewall has detected an application listening for incoming traffic. 

Name: -                                 
Path: C:\WINDOWS\system32\svchost.exe
Process identifier: 976
User account: NETWORK SERVICE
User domain: NT AUTHORITY
Service: Yes
RPC server: No
IP version: IPv4
IP protocol: UDP
Port number: 55035
Allowed: No
User notified: No

มันอยู่ในพอร์ตสุ่มต่างๆ ของ UDP เสมอ ดังนั้นการตั้งค่าข้อยกเว้นพอร์ตจึงไม่ใช่ตัวเลือกจริงๆ

มาจาก svchost หรือ lsass เสมอ ซึ่งทั้งคู่กำลังเรียกใช้บริการจาก DLL หนึ่งในกระบวนการที่ไม่เหมาะสมที่สุดน่าจะเป็น DnsCache

ฉันมีนโยบายส่วนกลางภายใต้ AT < เครือข่าย < การเชื่อมต่อเครือข่าย < ไฟร์วอลล์ Widnows < โปรไฟล์โดเมน (ฉันไม่ได้เปลี่ยนตัวเลือกโปรไฟล์มาตรฐานใดๆ เลย จำเป็นต้องกำหนดค่าทั้งคู่หรือไม่

เพื่อให้มีข้อยกเว้นของการดูแลระบบระยะไกลและเดสก์ท็อป และมีรายการข้อยกเว้นของโปรแกรมแบบกำหนดเองที่มี

%SystemRoot%\system32\svchost.exe:*:enabled:svchost

(Windows จะไม่อนุญาตให้คุณเพิ่มข้อยกเว้นนี้ในเครื่องท้องถิ่น แต่ให้ฉันมีไว้ที่นี่ในนโยบายส่วนกลางซึ่งดูเหมือนจะไม่ทำอะไรเลย)

%SystemRoot%\system32\lsass.exe:*enabled:lsass

(ฉันคิดว่าอันนี้จบข้อความ LSASS ทั้งหมดของฉัน)

%SystemRoot%\system32\dnsrslvr.dll:*:enabled:dnscache

(ฉันลองเพิ่ม dll เองในรายการข้อยกเว้น ดูเหมือนว่าจะไม่ทำอะไรเลย)

มีตัวเลือกอื่น ๆ เหลืออยู่จริง ๆ นอกเหนือจากการปิดใช้งาน Windows Firewall ทั้งหมด ปิดใช้งานการตรวจสอบทั้งหมดหรือเพียงแค่เปลี่ยนโปรแกรมดูเหตุการณ์เพื่อเขียนทับอัตโนมัติเมื่อจำเป็นหรือไม่?

ฉันค่อนข้างอยากจะแก้ไขปัญหาและกำจัดรายการเหล่านี้ที่เคยสร้างมาแทนที่จะพยายามปกปิดปัญหา

answer

สิ่งนี้เกิดขึ้นเมื่อ "การเข้าถึงออบเจ็กต์การตรวจสอบ" ถูกตั้งค่าให้บันทึกความล้มเหลวในการตรวจสอบ

ภายใต้เครื่องมือผู้ดูแลระบบ ให้เปิด 'นโยบายความปลอดภัยท้องถิ่น' ไปที่นโยบายท้องถิ่น\นโยบายการตรวจสอบ และตั้งค่าเพื่อไม่ให้มีการตรวจสอบ จากนั้นเรียกใช้ gpupdate.exe

อย่างที่กล่าวไปแล้ว ให้พิจารณาว่าข้อมูลที่คุณอาจสูญเสียไปโดยไม่ได้ตรวจสอบความล้มเหลวในการเข้าถึงวัตถุ และสิ่งที่นโยบายความปลอดภัยของคุณกำหนด