登录
Microsoft.com
 
Microsoft
 
 
 

none
windows 2008 r2 sp1 企业版系统防火墙被dllhost.exe自动开启,请问怎么解决? RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票

    windows 2008 r2 sp1 企业版

    c:\windows\system32\dllhost.exe 自动开启公用网络防火墙,请问这可能会是什么原因,怎么排查解决?

    2018年7月25日 2:13
    |

全部回复

  • Question
    登录进行投票
    0
    登录进行投票

    日志内容:

    日志名称:          Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
    来源:            Microsoft-Windows-Windows Firewall With Advanced Security
    日期:            2018/7/24 15:25:37
    事件 ID:         2003
    任务类别:          无
    级别:            信息
    关键字:           
    用户:            LOCAL SERVICE
    计算机:           WIN-459PFNNNXXX
    描述:
    公用 配置文件中的 Windows 防火墙设置已更改。
    新设置:
    类型: 启用 Windows 防火墙
    值:
    修改用户: WIN-459PFNNNXXX\XXX
    修改应用程序: C:\Windows\System32\dllhost.exe
    • 已编辑 clq2004 2018年7月25日 9:16
    2018年7月25日 2:37
    |
  • Question
    登录进行投票
    0
    登录进行投票

    你好,

    这是一个记录了哪个用户手动开启防火墙得日志。

    在你的日志中也描述了修改得用户

    修改用户: WIN-459PFNNN3LN\xuniji

    请注意论坛是一个公共得区域,为了防止隐私信息被泄漏,请删除敏感信息,比如账户名之类。

    Best Regards,

    Frank

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com


    2018年7月25日 9:02
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    如果是人为修改的话,修改应用程序是:explorer.exe,

    日志显示:修改应用程序:  C:\Windows\System32\dllhost.exe,

    dllhost.exe修改防火墙在什么情况下才会发生?要怎么才能得知是什么触发dllhost.exe去修改防火墙设置的?


    2018年7月25日 9:16
    |
  • Question
    登录进行投票
    0
    登录进行投票

    你好,

    请问你的服务器是否有安装其他的防火墙软件?

    如果有的话,建议关闭。

    如果没有的话,你可以开启审核进程策略。

    此策略开启后会产生大量日志。

    你可以在事件2003发生的时间点,同时检查审核日志进行对比。

    在运行中输入 secpol.msc

    希望可以帮到你。

    Best Regards,

    Frank

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年7月26日 6:04
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    1.系统安装有赛门铁克 SEP 12.1

    2.已开启进程审核进程,但日志已经被覆盖,无法找到发生的时间点的日志了。


    • 已编辑 clq2004 2018年7月26日 6:58
    2018年7月26日 6:57
    |
  • Question
    登录进行投票
    0
    登录进行投票

    你好,

    建议把三方防火墙临时关闭一段时间做测试。如果是生产环境,你也可以在虚拟机里建立一个相同的实验环境,来监控事件。

    日志被覆盖的话,建议在事件查看器里定制一个事件2003的列表。定时监控,查看是否会再次看到相同的事件。

    Best Regards,

    Frank

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年7月26日 9:01
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    你好,

    想确认下此主题的状态,如果有什么问题,请联系我们。

    Best Regards,

    Frank

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年7月31日 5:25
    |
    版主