Por que o firewall do Windows 10 se liga?

5

Estou correndo para o problema ao desabilitar o Firewall do Windows 10 - ele fica desabilitado, mas depois de vários segundos, algo o habilita de volta. Não havia programas instalados ou alterações de configuração quando isso começou a acontecer.

Aqui está um Screencast demonstrando o problema .

Quando eu desligo o Firewall de forma difícil, interrompendo o serviço subjacente, ele fica desativado, no entanto, a Cortana pára de funcionar ... Mas isso é outra história.

Alguma idéia?

UPDATE 1. Registo de Eventos

Depois de desligar, vejo duas entradas no log de eventos.

A Windows Firewall setting in the Public profile has changed.
New Setting:
    Type:   Enable Windows Firewall
    Value:  No
    Modifying User: EUGENE-PC\nrj
    Modifying Application:  C:\Windows\System32\dllhost.exe

E o segundo depois de 13 segundos - algo redefinir a configuração para o padrão ...

Windows Firewall has been reset to its default configuration.

    ModifyingUser:  SYSTEM
    ModifyingApplication:   C:\Windows\SysWOW64\netsh.exe

UPDATE 2. Resultados do acompanhamento do processo de auditoria

Depois de ativar o rastreamento do processo de auditoria, aqui está a trilha que a habilitação automática do firewall deixa.

A new process has been created.

Creator Subject:
    Security ID:        SYSTEM
    Account Name:       EUGENE-PC$
    Account Domain:     NGROUP
    Logon ID:       0x3E7

Target Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Process Information:
    New Process ID:     0x1ae4
    New Process Name:   C:\Windows\SysWOW64\netsh.exe
    Token Elevation Type:   %%1936
    Mandatory Label:        Mandatory Label\System Mandatory Level
    Creator Process ID: 0x798
    Creator Process Name:   C:\Windows\SysWOW64\cmd.exe
    Process Command Line:   

UPDATE 3. SOLUÇÃO!

Usando o conselho do Scott Chamberlain, eu finalmente descobri o caminho da iniciação da execução e encontrei o culpado!

Aqui estão as entradas do log de eventos que permitiram descobrir isso.

A new process has been created.

Creator Subject:
    Security ID:        SYSTEM
    Account Name:       EUGENE-PC$
    Account Domain:     NGROUP
    Logon ID:       0x3E7

Target Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Process Information:
    New Process ID:     **0x1950**
    New Process Name:   C:\Windows\SysWOW64\cmd.exe
    Token Elevation Type:   %%1936
    Mandatory Label:        Mandatory Label\System Mandatory Level
    Creator Process ID: 0xca0
    Creator Process Name:   **C:\Program Files (x86)\TunnelBear\TBear.Maintenance.exe**
    Process Command Line:   

Em seguida, a entrada para o netsh run é iniciada pelo Process with ID 0x1950 !

Process Information:
    New Process ID:     0x21b4
    New Process Name:   C:\Windows\SysWOW64\netsh.exe
    Token Elevation Type:   %%1936
    Mandatory Label:        Mandatory Label\System Mandatory Level
    Creator Process ID: 0x1950
    Creator Process Name:   C:\Windows\SysWOW64\cmd.exe
    Process Command Line:

Aqui está o nosso "herói" que me fez enlouquecer: link .

    
por Eugene D. Gubenkov 03.10.2016 / 21:20

1 resposta

3

Não é realmente uma solução, mas isso pode ajudá-lo a descobrir o que está causando isso.

Verifique seu log de eventos executando o aplicativo "Visualizador de eventos". Vá para Applications and Services logs -> Microsoft -> Windows -> Windows Firewall with Advanced Security e veja o Log do firewall .

Esse log deve registrar um evento sempre que o firewall for ativado ou desativado com um evento semelhante a

A Windows Firewall setting in the Public profile has changed.
New Setting:
    Type:   Enable Windows Firewall
    Value:  Yes
    Modifying User: MyMachine\srchamberlain
    Modifying Application:  C:\Windows\System32\dllhost.exe

Você pode verificar a propriedade Modifying Application para ver qual aplicativo iniciou a alteração do firewall.

UPDATE 1:

Portanto, parece que algo está executando netsh em uma base semi-regular. Eu verificaria Applications and Services logs -> Microsoft -> Windows -> TaskScheduler -> Operational no visualizador de eventos para ver se é uma tarefa agendada.

Se isso não for exibido, execute secpol.msc e habilite Acompanhamento do processo de auditoria para ver quem iniciou o netsh , assim que estiver ativado, você poderá acessar o Windows Logs -> Security e encontrar a entrada" Auditoria de sucesso "para esse processo.

Aqui está um exemplo de eu iniciar manualmente notepad.exe com ele.

A new process has been created.

Creator Subject:
    Security ID:        MyMachine\srchamberlain
    Account Name:       srchamberlain
    Account Domain:     MyMachine
    Logon ID:       0x71FA757

Target Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Process Information:
    New Process ID:     0x1510
    New Process Name:   C:\Windows\System32\notepad.exe
    Token Elevation Type:   %%1938
    Mandatory Label:        Mandatory Label\Medium Mandatory Level
    Creator Process ID: 0x938
    Creator Process Name:   C:\Windows\explorer.exe
    Process Command Line:   

O que mais nos interessa é o Creator Process Name

    
por 03.10.2016 / 22:05