none
Отмена блокировки портов RRS feed

  • Вопрос

  • В последнее время 2-3 раза в течении дня в Firewall создаются правила deny tcp 135, deny tcp 139, deny tcp 445 которые блокируют порты 135, 139, 445. После создания этих правил естественно блокируется доступ к общим ресурсам, которые установлены на этом сервере. В логах Microsoft Firewall прописано следующее событие(для каждого порта) :

    + System
    - Provider
    [ Name] Microsoft-Windows-Windows Firewall With Advanced Security
    [ Guid] {D1BC9AFF-2ABF-4D71-9146-ECB2A986EB85}
    EventID 2004
    Version 0
    Level 4
    Task 0
    Opcode 0
    Keywords 0x8000020000000000
    - TimeCreated
    [ SystemTime] 2017-08-17T18:33:44.699492200Z
    EventRecordID 821
    Correlation
    - Execution
    [ ProcessID] 1124
    [ ThreadID] 3080
    Channel Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
    Computer Server
    - Security
    [ UserID] S-1-5-19
    - EventData
    RuleId {E9F2DE8D-3A82-4661-9DC1-D9B8B1FF3CAD}
    RuleName deny tcp 139
    Origin 1
    ApplicationPath
    ServiceName
    Direction 1
    Protocol 6
    LocalPorts 139
    RemotePorts *
    Action 2
    Profiles 2147483647
    LocalAddresses *
    RemoteAddresses *
    RemoteMachineAuthorizationList
    RemoteUserAuthorizationList
    EmbeddedContext
    Flags 1
    Active 1
    EdgeTraversal 0
    LooseSourceMapped 0
    SecurityOptions 0
    ModifyingUser S-1-5-18
    ModifyingApplication C:\Windows\System32\netsh.exe
    SchemaVersion 522
    RuleStatus

    65536

      Каким образом можно убрать автоматическое создание этих правил?.
    18 августа 2017 г. 10:22

Ответы

  • Добрый День.

    Проверяйте ос на вирусы и прочее не хорошее ПО.

    Суть проблемы:

    LOCAL_SYSTEM S-1-5-18

    LOCAL_SERVICE S-1-5-19


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter.

    • Помечено в качестве ответа Viktor1659 21 августа 2017 г. 9:31
    18 августа 2017 г. 10:31
    Модератор
  • В планировщике нет ни единого задания.

    групповые или локальные политики проверяли? в командной строке введите rsop (а так же gpresult /R, в cmd от имени администратора), для просмотра применённых политик и их свойства.

    В планировщике нет ни единого задания.

    такого не может быть. Должны быть как минимум системные задачи:

    • Изменено AnahaymModerator 18 августа 2017 г. 11:39
    • Помечено в качестве ответа Viktor1659 21 августа 2017 г. 9:32
    18 августа 2017 г. 11:33
    Модератор

Все ответы

  • Я бы для начала посмотрел на назначенные задания в планировщике - netsh.exe сподручнее запускать оттуда. А поскольку отключение идёт от имени локальной системы, я бы сначала проверил список заданий старого формата командой at (они всегда выполняются от имени системы).


    Слава России!

    18 августа 2017 г. 10:49
  • В планировщике нет ни единого задания.

    18 августа 2017 г. 11:28
  • В планировщике нет ни единого задания.

    групповые или локальные политики проверяли? в командной строке введите rsop (а так же gpresult /R, в cmd от имени администратора), для просмотра применённых политик и их свойства.

    В планировщике нет ни единого задания.

    такого не может быть. Должны быть как минимум системные задачи:

    • Изменено AnahaymModerator 18 августа 2017 г. 11:39
    • Помечено в качестве ответа Viktor1659 21 августа 2017 г. 9:32
    18 августа 2017 г. 11:33
    Модератор
  • В планировщике я действительно не досмотрел, есть активные задачи, но ни одна из них не вызывает netsh.exe.

    В списке этих задач у меня вызывает подозрение mysa1,2,3 и ok. (Всавить изображение не получается, требуется проверка учетной записию)

    19 августа 2017 г. 6:43
  • В планировщике я действительно не досмотрел, есть активные задачи, но ни одна из них не вызывает netsh.exe.

    В списке этих задач у меня вызывает подозрение mysa1,2,3 и ok. (Всавить изображение не получается, требуется проверка учетной записию)

    они могут вызывать скрипты, которые вызывают netsh. Названия заданий, действительно подозрительные.
    19 августа 2017 г. 8:24
    Модератор