Regra de firewall Escolha do navegador criada no logon

Navegue suas respostas
0

Sempre que um usuário faz login em uma máquina (Both 8 e 8.1), uma regra de firewall é criada, chamada "Escolha do navegador" e a descrição "Escolha do navegador".

Isso é criado pelo usuário do serviço de firewall e pelo svchost.exe

Eventualmente, isso começa a criar algumas regras, e as máquinas mais lentas na rede começam a mostrar sintomas de alto uso da CPU devido às enumerações de firewall.

Vários eventos aparecem nos logs do firewall, todos dizendo que uma nova regra foi adicionada à lista de firewalls. Eles formam as regras para os tipos de perfil de entrada, saída e de três firewalls.

Abaixo está um exemplo de um dos logs de eventos: 

A rule has been added to the Windows Firewall exception list.

Added Rule:
Rule ID:    {F79CDB08-DDA3-45C1-A062-B5EB934FADE3}
Rule Name:  Browser Choice
Origin: Local
Active: Yes
Direction:  Inbound
Profiles:   Private,Domain
Action: Allow
Application Path:   
Service Name:   
Protocol:   Any
Security Options:   None
Edge Traversal: None
Modifying User: NT SERVICE\MpsSvc
Modifying Application:  C:\windows\System32\svchost.exe

Estou tentando rastrear o que está realmente criando essa regra. Isso acontece assim que o usuário faz login e está na tela inicial, sem necessidade de interação do usuário.

Alguém sabe o que está causando isso e / ou como desativá-lo?

Se qualquer informação adicional for necessária, posso editar conforme necessário.

    
por Lister 02.12.2016 / 10:44

2 respostas

0

Nós finalmente descobrimos o que causou isso.

Em nossa imagem, havia a atualização de escolha do navegador (KB976002). Foi isso que estava criando as regras do firewall. Normalmente esta atualização não pode ser removida, no entanto, alterar a permanência da atualização do permanente para desinstalável nos permitiu desinstalar a atualização.

Nós enviamos isso via GPO para as máquinas, e uma imagem limpa foi feita para futuras instalações. Isso só aconteceria principalmente com os europeus, já que a atualização da escolha do navegador foi criada em resposta a um mandato da UE imposto à Microsoft. A atualização já foi retirada e as imagens além de ~ 2013 devem estar bem.

Se você precisar desinstalar uma "atualização permanente do Windows" Isso pode ser feito da seguinte forma:

  • Abra a tela de atualizações instaladas do Windows em programas e recursos
  • Identifique a atualização e seu número de KB
  • Navegue até "C: \ Windows \ servicing \ Packages \"
  • Encontre o KB e abra os arquivos .mum associados, estes são XMLs.
  • Encontre a linha "permanency =” permanent "" e mude para "permanency=" removable ""

Agradecemos a magicandre1981 por me apontar na direção certa.

Note, eles podem ser definidos como permanentes por um bom motivo, neste caso, era malicioso provar um ponto. Mas isso está fora do assunto. Normalmente, será porque o patch alterou a operação de maneira irreversível ou se integrou com outros patches.

    
por 01.02.2017 / 19:19
-1

No Windows 10, vejo cerca de 90 regras de firewall criadas por usuário, se você incluir o configurableservicestore, consultando o powershell.

    
por 30.01.2017 / 20:52

Tags

Configurando minha própria conexão VPN Como copiar o C: para o disco rígido maior sem estragar tudo?