Em primeiro lugar, minhas máquinas não são comprometidas por qualquer pessoa que sugira que isso será feito pelo DV.
Os logs de segurança em algumas das máquinas clientes da minha rede (todos do Windows XP Sp3) são preenchidos com essas mensagens de erro inúteis.
Security Failure Audit
Detailed Tracking
Event ID: 861
User: NT AUTHORITY\NETWORK SERVICE
The Windows Firewall has detected an application listening for incoming traffic.
Name: -
Path: C:\WINDOWS\system32\svchost.exe
Process identifier: 976
User account: NETWORK SERVICE
User domain: NT AUTHORITY
Service: Yes
RPC server: No
IP version: IPv4
IP protocol: UDP
Port number: 55035
Allowed: No
User notified: No
Está sempre em várias portas aleatórias do UDP, portanto, configurar uma exceção de porta não é realmente uma opção.
É sempre de svchost ou lsass, ambos executando serviços de DLLs. Um dos processos mais ofensivos parece ser o DnsCache.
Eu tenho na minha política global sob AT < Rede < Conexão de rede < Firewall Widnows < Perfil do Domínio (Eu não mudei nenhuma opção de perfil padrão, ambos precisam ser configurados?
Para permitir exceções de administração e área de trabalho remotas e ter uma lista de exceções de programa personalizada
%SystemRoot%\system32\svchost.exe:*:enabled:svchost
(o Windows não permitirá que você adicione essa exceção em uma máquina local, mas deixe-me tê-lo aqui na política global, parece que não faz nada)
%SystemRoot%\system32\lsass.exe:*enabled:lsass
(acho que este terminou todas as minhas mensagens LSASS)
%SystemRoot%\system32\dnsrslvr.dll:*:enabled:dnscache
(Eu tentei adicionar a própria dll à lista de exceções, isso não pareceu fazer nada)
Existe realmente alguma outra opção que não seja desabilitar totalmente o Firewall do Windows, desabilitando totalmente a auditoria ou apenas alterando o visualizador de eventos para apenas sobrescrever automaticamente quando necessário?
Prefiro corrigir o problema e me livrar dessas entradas sempre que forem criadas, em vez de tentar encobrir o problema.
Isso ocorre quando o "acesso ao objeto de auditoria" é configurado para ser registrado em falhas de auditoria.
Sob as ferramentas de administração, inicie a 'política de segurança local', navegue para as políticas locais \ política de auditoria e configure-a para nenhuma auditoria. Em seguida, execute o gpupdate.exe.
Dito isso, considere quais informações você pode estar perdendo ao não auditar as falhas de acesso a objetos e o que sua política de segurança exige.