我局域网中的某台计算机一直在使用事件4768(authentication失败)攻击域控制器。 在与该计算机的“所有者”进行授权之后,发现该计算机中存在恶意软件。
我们计划将重要的数据(文件)复制到一个新build的服务器上,然后将这个文件打包。 与此同时,我想阻止它完全从DC。 但是,添加一个新的入站规则(没有任何明确指定,除了“远程地址”,我把电脑的IP地址)似乎没有帮助; 事件4768不断出现。
我哪里做错了? Windows防火墙为什么不阻止感染计算机?
顺便说一下,有问题的DC是Windows Server 2008 R2。
好吧,愚蠢的我。 有人通过GPOclosuresWindows防火墙。 只要我把它打开,一切顺利。
现在请原谅,我找出凶手是谁