V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
laminux29
V2EX  ›  Windows

长时间开机的 Windows 11 的防火墙突然失效

  •  
  •   laminux29 · 81 天前 · 927 次点击
    这是一个创建于 81 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Windows 11 企业版,22H2 ,22621.4169

    今天在公司,远程回家里的 Windows 11 PC ,提示说远程账户被锁。我觉得很奇怪,虽然我家里的 Win 11 电脑的远程桌面,是映射到公网,但是通过防火墙做了白名单,只允许公司 IP 所在的 /24 段访问,而且还有 wail2ban 保护(类似于 linux 的 fail2ban ),不应该出现这个问题。

    回家后,看 Windows 11 的系统日志,发现一大堆国内 IP 通过远程桌面,尝试破解密码,这些 IP 都不是公司的 /24 网段。用 Wireshark 以 ip.src == 攻击者 IP ,抓了一下包,发现攻击者是访问本机 tcp 3389 端口。而且 wail2ban 也没工作。奇怪了,难道防火墙失效?

    在防火墙里,禁用了远程桌面规则,然后在局域网里找了台电脑,发现 tcp 能连上本机 3389 tcp 。

    然后我在防火墙里,加了一条 block 规则,专门 block 外部访问本机 tcp 3389 端口,也没用。

    最可怕的是,本机的防火墙服务,看上去是正常运行的。

    然后点击重置防火墙,防火墙的规则被重置为刚装机完毕的情况,所有的自定义规则被删了,远程桌面规则也没启用,但局域网电脑仍然能访问本机 tcp 3389 端口。

    我正打算重启电脑,来重装,结果重启电脑后,防火墙功能恢复正常。

    我这电脑,长期开着,基本不关闭。

    我怀疑,要不某个进程,悄悄地把防火墙功能,以黑客的方式给关闭了。之所以说是以黑客的方式,是因为防火墙服务、规则,看上去一切正常。

    或者发生更严重的情况,防火墙发生 0day 漏洞,远程攻击者,可以通过构造特殊数据包,来让防火墙功能失效,让 Windows 11 失去防火墙的保护。

    结论:

    1.Windows 11 的防火墙,不知为啥失效。

    2.wail2ban 也失效。

    3.Windows 的多次用户密码错误的自动锁定策略,生效。这是系统的默认规则,装机后就自带的,但只能是被攻击时,才能感觉到。超过一定时间后,账户会自动解锁。

    目前尚无回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1193 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 18:30 · PVG 02:30 · LAX 10:30 · JFK 13:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.