4 votes

Eugene D. Gubenkov avatar

Pourquoi le pare-feu de Windows 10 s'active-t-il ?

Demandé el 3 de Octobre, 2016
Quand la question a-t-elle été
4374 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je rencontre le problème de la désactivation du pare-feu de Windows 10 : il est désactivé, mais après plusieurs secondes, quelque chose le réactive. Il n'y avait pas de programmes installés ou de changements de configuration mage lorsque cela a commencé à se produire.

Voici un screencast illustrant le problème. .

Lorsque je ferme le Pare-feu de manière définitive en arrêtant le service sous-jacent, il est désactivé, mais Cortana ne fonctionne plus... Mais c'est encore une autre histoire.

Des idées ?

UPDATE 1. journal des événements

Après l'avoir éteint, je vois deux entrées dans le journal des événements.

A Windows Firewall setting in the Public profile has changed.
New Setting:
    Type:   Enable Windows Firewall
    Value:  No
    Modifying User: EUGENE-PC\nrj
    Modifying Application:  C:\Windows\System32\dllhost.exe

Et la seconde après 13 secondes -- quelque chose a remis la configuration par défaut...

Windows Firewall has been reset to its default configuration.

    ModifyingUser:  SYSTEM
    ModifyingApplication:   C:\Windows\SysWOW64\netsh.exe

UPDATE 2. Résultats du suivi du processus d'audit

Après avoir activé le suivi du processus d'audit, voici la trace que laisse l'activation du pare-feu automatique.

A new process has been created.

Creator Subject:
    Security ID:        SYSTEM
    Account Name:       EUGENE-PC$
    Account Domain:     NGROUP
    Logon ID:       0x3E7

Target Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Process Information:
    New Process ID:     0x1ae4
    New Process Name:   C:\Windows\SysWOW64\netsh.exe
    Token Elevation Type:   %%1936
    Mandatory Label:        Mandatory Label\System Mandatory Level
    Creator Process ID: 0x798
    Creator Process Name:   C:\Windows\SysWOW64\cmd.exe
    Process Command Line:

MISE À JOUR 3. SOLUTION !

En utilisant les conseils de Scott Chamberlain, j'ai finalement trouvé le chemin d'initiation de l'exécution et le coupable !

Voici les entrées du journal des événements qui ont permis de comprendre ce problème.

A new process has been created.

Creator Subject:
    Security ID:        SYSTEM
    Account Name:       EUGENE-PC$
    Account Domain:     NGROUP
    Logon ID:       0x3E7

Target Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Process Information:
    New Process ID:     **0x1950**
    New Process Name:   C:\Windows\SysWOW64\cmd.exe
    Token Elevation Type:   %%1936
    Mandatory Label:        Mandatory Label\System Mandatory Level
    Creator Process ID: 0xca0
    Creator Process Name:   **C:\Program Files (x86)\TunnelBear\TBear.Maintenance.exe**
    Process Command Line:

Puis l'entrée pour netsh run va et il démarre par le processus avec l'ID 0x1950 !

Process Information:
    New Process ID:     0x21b4
    New Process Name:   C:\Windows\SysWOW64\netsh.exe
    Token Elevation Type:   %%1936
    Mandatory Label:        Mandatory Label\System Mandatory Level
    Creator Process ID: 0x1950
    Creator Process Name:   C:\Windows\SysWOW64\cmd.exe
    Process Command Line:

Voici notre "héros" qui m'a rendu fou : https://www.tunnelbear.com/ .

hero

Demandé el 3 de Octobre, 2016 par Eugene D. Gubenkov

Réponse

Trop de publicités?

3voto

Ed Brannin avatar
Ed Brannin Points 2723

Ce n'est pas vraiment une solution, mais cela peut vous aider à trouver la cause du problème.

Vérifiez votre journal des événements en exécutant l'application "Event Viewer". Allez à Applications and Services logs -> Microsoft -> Windows -> Windows Firewall with Advanced Security et consulter le Journal du pare-feu .

Ce journal devrait enregistrer un événement à chaque fois que le pare-feu est activé ou désactivé, avec un événement similaire à celui-ci

A Windows Firewall setting in the Public profile has changed.
New Setting:
    Type:   Enable Windows Firewall
    Value:  Yes
    Modifying User: MyMachine\\srchamberlain
    Modifying Application:  C:\\Windows\\System32\\dllhost.exe

Vous pouvez vérifier le Modifying Application pour voir quelle application a initié le changement de pare-feu.

UPDATE 1 :

Il semble donc que quelque chose fonctionne netsh sur une base semi-régulière. Je vérifierais Applications and Services logs -> Microsoft -> Windows -> TaskScheduler -> Operational dans l'observateur d'événements pour voir si c'est une tâche planifiée qui le fait.

Si cela ne montre pas qu'il est en cours d'exécution secpol.msc et et permettent Suivi du processus d'audit pour voir qui a commencé netsh Une fois qu'il est activé, vous pouvez vous rendre à l'adresse suivante Windows Logs -> Security et trouvez l'entrée "Audit Success" pour ce processus.

Voici un exemple où je démarre manuellement notepad.exe avec elle.

A new process has been created.

Creator Subject:
    Security ID:        MyMachine\\srchamberlain
    Account Name:       srchamberlain
    Account Domain:     MyMachine
    Logon ID:       0x71FA757

Target Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Process Information:
    New Process ID:     0x1510
    New Process Name:   C:\\Windows\\System32\\notepad.exe
    Token Elevation Type:   %%1938
    Mandatory Label:        Mandatory Label\\Medium Mandatory Level
    Creator Process ID: 0x938
    Creator Process Name:   C:\\Windows\\explorer.exe
    Process Command Line:

La chose qui nous intéresse le plus est le Creator Process Name

Répondu el 3 de Octobre, 2016 par Ed Brannin (2723 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X