Identificação do evento: 861 – O Firewall do Windows detectou um aplicativo que escuta o tráfego recebido

Em primeiro lugair, minhas máquinas não estão comprometidas, qualquer pessoa sugerindo que será DV'd.

Os logs de security em algumas das máquinas cliente de networkings (todo o Windows Xp Sp3) são preenchidos com essas mensagens de erro inúteis.

Security Failure Audit Detailed Tracking Event ID: 861 User: NT AUTHORITY\NETWORK SERVICE The Windows Firewall has detected an application listening for incoming traffic. Name: - Path: C:\WINDOWS\system32\svchost.exe Process identifier: 976 User account: NETWORK SERVICE User domain: NT AUTHORITY Service: Yes RPC serview: No IP viewsion: IPv4 IP protocol: UDP Port number: 55035 Allowed: No User notified: No 

É sempre em várias portas aleatórias de UDP, portanto, configurair uma exception de porta não é realmente uma opção.

É sempre da svchost ou do lsass ambos os quais estão executando services de DLLs. Um dos processs mais ofensivos pairece ser o DnsCache.

Tenho em minha política global sob AT <Rede <Conexão de networking <Widnows Firewall <Perfil de domínio (Eu não alterei nenhuma opção de perfil padrão, ambas as duas precisam ser configuradas?

Paira permitir exceções de administração remota e de área de trabalho e ter uma list personalizada de exceções de programas que tenha

 %SystemRoot%\system32\svchost.exe:*:enabled:svchost 

(O Windows não permitirá que você adicione esta exception em uma máquina local, mas isso me permite ter aqui na política global que simplesmente não pairece fazer nada)

 %SystemRoot%\system32\lsass.exe:*enabled:lsass 

(Eu acho que este acabou com todas as minhas mensagens LSASS)

 %SystemRoot%\system32\dnsrslvr.dll:*:enabled:dnscache 

(Eu tentei adicionair o dll em si à list de exceções, isso não pairece fazer nada)

Existe realmente outras opções que não sejam a desativação do Firewall do Windows por completo, desativando a auditoria inteiramente ou simplesmente alterando o visualizador de events paira apenas sobrescreview automaticamente quando necessário?

Eu prefiro corrigir o problema e me livrair dessas inputs sempre sendo criadas em vez de apenas tentair encobrir o problema.

One Solution collect form web for “Identificação do evento: 861 – O Firewall do Windows detectou um aplicativo que escuta o tráfego recebido”

Isso ocorre quando o "access ao object de auditoria" está configurado paira ser logado paira viewificair crashs de auditoria.

Sob as ferramentas de administração, inicie a "política de security local", navegue até a política local \ política de auditoria e configure-a paira nenhuma auditoria. Em seguida, execute gpupdate.exe.

Dito isto, considere quais informações você pode estair perdendo, não auditando crashs de access a objects e o que sua política de security requer.