我正在设置启用了Windows防火墙的强化应用程序服务器。
操作系统是2008 R2。 我们正在使用高级防火墙设置,如果有问题,请使用IPSec和Kerberos身份validation。 我的其他主机(192.168.100.21)之一需要到达我的服务器(192.168.100.29),以使我的应用程序正常工作。 如果我允许来自该IP的所有入站stream量,它的function完美无瑕。 这不幸的是不符合我的监pipe要求。
审计事件显示连接尝试正在进行svchost,但它不成功。 我如何确定哪些服务正试图访问?
我使用下面显示的debugging审计来确定svchost行为。
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable auditpol /set /subcategory:"IPsec Driver" /success:enable /failure:enable auditpol /set /subcategory:"IPsec Main Mode" /success:enable /failure:enable auditpol /set /subcategory:"IPsec Quick Mode" /success:enable /failure:enable auditpol /set /subcategory:"IPsec Extended Mode" /success:enable /failure:enable 正如你所知,SVCHOST只是底层服务的一个保护服务,其中大部分performance为DLL,而不是EXE。 如果是我,我会使用三个Microsoft SysInternals工具和TASKLIST:
所以,一旦你看到TCP / UDP活动,并且你知道哪个SVCHOST被引用,并且你知道哪个端口,你可以使用TASKLIST来查看哪个服务被SVCHOST托pipe( tasklist / svc / fi“imagename eq svchost.exe“ ),然后使用端口号推断出它是哪个服务。
无论如何,这将是我的方法。 祝你好运。