Windows 10ファイアウォールを無効にする問題が発生しています。ファイアウォールは無効になりますが、数秒後に何かが有効になります。これが発生し始めたとき、インストールされたプログラムや構成変更の魔道士はいませんでした。
基盤となるサービスを停止してファイアウォールをハードにシャットダウンすると、ファイアウォールは無効になりますが、Cortanaは機能しなくなります...しかし、それはまた別の話です。
何か案は?
更新1.イベントログ
オフにすると、2つのイベントログエントリが作成されます。
A Windows Firewall setting in the Public profile has changed.
New Setting:
Type: Enable Windows Firewall
Value: No
Modifying User: EUGENE-PC\nrj
Modifying Application: C:\Windows\System32\dllhost.exe
そして13秒後の秒-何かが設定をデフォルトにリセットします...
Windows Firewall has been reset to its default configuration.
ModifyingUser: SYSTEM
ModifyingApplication: C:\Windows\SysWOW64\netsh.exe
UPDATE 2.プロセス追跡結果の監査
監査プロセスの追跡を有効にした後、ここに自動ファイアウォールの有効化が残す道があります。
A new process has been created.
Creator Subject:
Security ID: SYSTEM
Account Name: EUGENE-PC$
Account Domain: NGROUP
Logon ID: 0x3E7
Target Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Process Information:
New Process ID: 0x1ae4
New Process Name: C:\Windows\SysWOW64\netsh.exe
Token Elevation Type: %%1936
Mandatory Label: Mandatory Label\System Mandatory Level
Creator Process ID: 0x798
Creator Process Name: C:\Windows\SysWOW64\cmd.exe
Process Command Line:
更新3.解決策!
スコットチェンバレンのアドバイスを使用して、私はついに実行開始パスを見つけ、犯人を見つけました!
これを理解することを可能にしたイベントログエントリは次のとおりです。
A new process has been created.
Creator Subject:
Security ID: SYSTEM
Account Name: EUGENE-PC$
Account Domain: NGROUP
Logon ID: 0x3E7
Target Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Process Information:
New Process ID: **0x1950**
New Process Name: C:\Windows\SysWOW64\cmd.exe
Token Elevation Type: %%1936
Mandatory Label: Mandatory Label\System Mandatory Level
Creator Process ID: 0xca0
Creator Process Name: **C:\Program Files (x86)\TunnelBear\TBear.Maintenance.exe**
Process Command Line:
次に、netsh runのエントリが表示され、ID0x1950のプロセスで開始されます。
Process Information:
New Process ID: 0x21b4
New Process Name: C:\Windows\SysWOW64\netsh.exe
Token Elevation Type: %%1936
Mandatory Label: Mandatory Label\System Mandatory Level
Creator Process ID: 0x1950
Creator Process Name: C:\Windows\SysWOW64\cmd.exe
Process Command Line:
これが私を怒らせた私たちの「ヒーロー」です: https://www.tunnelbear.com/ 。
実際には解決策ではありませんが、これは何が原因であるかを理解するのに役立つ場合があります。
「イベントビューア」アプリを実行して、イベントログを確認します。 Applications and Services logs -> Microsoft -> Windows -> Windows Firewall with Advanced Security
に移動し、 ファイアウォールログ を表示します。
そのログは、ファイアウォールが有効または無効になっている場合は常に、次のようなイベントでイベントをログに記録する必要があります。
パブリックプロファイルのWindowsファイアウォール設定が変更されました。 新しい設定: タイプ:Windowsファイアウォールを有効にする 値:はい ユーザーの変更: MyMachine\srchamberlain アプリケーションの変更:C:\ Windows\System32\dllhost.exe
Modifying Application
プロパティをチェックして、ファイアウォールの変更を開始したアプリを確認できます。
更新1:
したがって、何かが半定期的にnetsh
を実行しているように見えます。イベントビューアでApplications and Services logs -> Microsoft -> Windows -> TaskScheduler -> Operational
をチェックして、それがスケジュールされたタスクであるかどうかを確認します。
実行されていることが表示されない場合は、secpol.msc
を実行し、有効にします 監査プロセスの追跡 誰がnetsh
を開始したかを確認します。有効にしたら、Windows Logs -> Security
に移動して、「監査の成功」を見つけます。 "そのプロセスのエントリ。
これは、手動でnotepad.exe
をオンにして開始した例です。
新しいプロセスが作成されました。 作成者の件名: セキュリティID:MyMachine\srchamberlain アカウント名:srchamberlain アカウントドメイン:MyMachine ログオンID:0x71FA757 ターゲットサブジェクト: セキュリティID:NULL SID アカウント名:- アカウントドメイン:- ログオンID:0x0 プロセス情報: 新しいプロセスID:0x1510 新しいプロセス名:C:\ Windows\System32\notepad.exe トークンの昇格タイプ:%% 1938 必須ラベル:必須ラベル\中必須レベル 作成者プロセスID:0x938 作成者プロセス名: C:\ Windows\Explorer.exe プロセスコマンドライン:
私たちが最も興味を持っているのはCreator Process Name
です