5

Я сталкиваюсь с проблемой отключения брандмауэра Windows 10 - он отключается, но через несколько секунд что-то включает его обратно. Когда это начало происходить, не было установлено никаких программ или изменений конфигурации.

Вот скриншот, демонстрирующий проблему.

Когда я жестко выключаю Firewall, останавливая базовый сервис, он отключается, однако Cortana перестает работать ... Но это еще одна история.

Есть идеи?

ОБНОВЛЕНИЕ 1. Журнал событий

После выключения я вижу две записи в журнале событий.

A Windows Firewall setting in the Public profile has changed.
New Setting:
    Type:   Enable Windows Firewall
    Value:  No
    Modifying User: EUGENE-PC\nrj
    Modifying Application:  C:\Windows\System32\dllhost.exe

А второй через 13 секунд - что-то сбрасывает конфигурацию по умолчанию ...

Windows Firewall has been reset to its default configuration.

    ModifyingUser:  SYSTEM
    ModifyingApplication:   C:\Windows\SysWOW64\netsh.exe

ОБНОВЛЕНИЕ 2. Аудит процесса отслеживания результатов

После включения отслеживания процесса аудита здесь есть след, который оставляет автоматическое включение брандмауэра.

A new process has been created.

Creator Subject:
    Security ID:        SYSTEM
    Account Name:       EUGENE-PC$
    Account Domain:     NGROUP
    Logon ID:       0x3E7

Target Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Process Information:
    New Process ID:     0x1ae4
    New Process Name:   C:\Windows\SysWOW64\netsh.exe
    Token Elevation Type:   %%1936
    Mandatory Label:        Mandatory Label\System Mandatory Level
    Creator Process ID: 0x798
    Creator Process Name:   C:\Windows\SysWOW64\cmd.exe
    Process Command Line:

ОБНОВЛЕНИЕ 3. РЕШЕНИЕ!

Используя совет Скотта Чемберлена, я, наконец, выяснил путь инициации казни и нашел виновника!

Вот записи в журнале событий, которые позволили выяснить это.

A new process has been created.

Creator Subject:
    Security ID:        SYSTEM
    Account Name:       EUGENE-PC$
    Account Domain:     NGROUP
    Logon ID:       0x3E7

Target Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Process Information:
    New Process ID:     **0x1950**
    New Process Name:   C:\Windows\SysWOW64\cmd.exe
    Token Elevation Type:   %%1936
    Mandatory Label:        Mandatory Label\System Mandatory Level
    Creator Process ID: 0xca0
    Creator Process Name:   **C:\Program Files (x86)\TunnelBear\TBear.Maintenance.exe**
    Process Command Line:

Затем идет запись для запуска netsh, и он запускается процессом с идентификатором 0x1950 !

Process Information:
    New Process ID:     0x21b4
    New Process Name:   C:\Windows\SysWOW64\netsh.exe
    Token Elevation Type:   %%1936
    Mandatory Label:        Mandatory Label\System Mandatory Level
    Creator Process ID: 0x1950
    Creator Process Name:   C:\Windows\SysWOW64\cmd.exe
    Process Command Line:

Вот наш "герой", который заставил меня сойти с ума: https://www.tunnelbear.com/.

герой

|источник

1 ответ1

3

Не совсем решение, но это может помочь вам понять, что его вызывает.

Проверьте журнал событий, запустив приложение "Просмотр событий". Перейдите в Applications and Services logs -> Microsoft -> Windows -> Windows Firewall with Advanced Security и просмотрите журнал брандмауэра.

Этот журнал должен регистрировать событие всякий раз, когда брандмауэр включен или отключен с событием, аналогичным

A Windows Firewall setting in the Public profile has changed.
New Setting:
    Type:   Enable Windows Firewall
    Value:  Yes
    Modifying User: MyMachine\srchamberlain
    Modifying Application:  C:\Windows\System32\dllhost.exe

Вы можете проверить свойство Modifying Application чтобы увидеть, какое приложение инициировало изменение брандмауэра.

ОБНОВЛЕНИЕ 1:

Таким образом, кажется, что-то работает netsh на полурегулярной основе. Я бы проверил Applications and Services logs -> Microsoft -> Windows -> TaskScheduler -> Operational в средстве просмотра событий, чтобы увидеть, выполняет ли это запланированную задачу.

Если это не показывает, что он запускается, запустите secpol.msc и включите отслеживание процесса аудита, чтобы увидеть, кто запустил netsh , после его включения вы можете перейти в Windows Logs -> Security и найти запись "Успех аудита" для этого процесса.

Вот пример того, как я вручную notepad.exe с ним.

A new process has been created.

Creator Subject:
    Security ID:        MyMachine\srchamberlain
    Account Name:       srchamberlain
    Account Domain:     MyMachine
    Logon ID:       0x71FA757

Target Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Process Information:
    New Process ID:     0x1510
    New Process Name:   C:\Windows\System32\notepad.exe
    Token Elevation Type:   %%1938
    Mandatory Label:        Mandatory Label\Medium Mandatory Level
    Creator Process ID: 0x938
    Creator Process Name:   C:\Windows\explorer.exe
    Process Command Line:

Больше всего нас интересует название Creator Process Name создания

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .