Windows Filtering Platform filter был изменен - Совместное использование Принтера и Файл
В вашем вопросе происходит куча разных вещей. Я обращусь к ним отдельно.
Мой сервер Windows Server 2008 R2 подвергается множеству попыток входа в систему. Я предполагаю, что кто-то проводит атаку грубой силы.
В качестве общего совета: не угадайте. Знаю. Компьютерные системы чрезвычайно сложны. Хороший системный администратор должен начать с выявления всех симптомов, тестирования на повторяемость, сбора доказательств и затем сделать разумные предположения о том, в чем заключается основная проблема. Метод «Предположения и проверка» будет работать только в том случае, если вам очень повезет.
Вам следует просмотреть журнал событий и сопоставить попытки входа в систему с информацией IDS вашего вышестоящего провайдера. Возможно, это атака грубой силы при входе в систему, возможно, это учетная запись службы, у которой был изменен пароль, может это приложение, у которого больше нет соответствующих прав? Это могло быть много чего.
И, наконец, самое главное - почему ваш сервер вообще подвержен влиянию большого плохого Интернета? Вы действительно должны иметь его за брандмауэром или VPN.
Довольно забавно, что наш файл конфигурации MySQL был удален прошлой ночью, так что они, должно быть, каким-то образом проникли.
Это немного забавно, но опять же вы уверены, что это злоумышленник? Может ты случайно удалил? Опять же, не угадай. Знаю. Вы проверяете доступ к файлам? Смена владельца? Вы должны иметь возможность хотя бы лучше понять, какой файл конфигурации был внезапно изменен или пропущен.
Платформа фильтрации Windows
Информацию о Платформе фильтрации Windows можно найти в MSDN: решения, принимаемые на нескольких уровнях стека протоколов TCP / IP. WFP также интегрирует и обеспечивает поддержку межсетевого экрана нового поколения. такие функции, как аутентифицированная связь и динамический брандмауэр конфигурация, основанная на использовании приложением Windows API сокетов. Эта возможность также известна как прикладная политика.
Я считаю, что опубликованный вами пример удаляет фильтр PERMIT для общего доступа к файлам и принтерам (служба диспетчера очереди печати - RPC-EPMAP). Если вы прочтете немного больше, то сможете это подтвердить. Я не думаю, что это конкретное событие связано с вашими возможными проблемами безопасности (что не означает, что другие события WFP не связаны!).
Ваш сервер скомпрометирован?
Перед тем, как подавать сигнал тревоги, проведите небольшое расследование, обратитесь в службу поддержки и убедитесь, что ваш сервер действительно был взломан. Прочтите канонический вопрос по этой теме, чтобы помочь вам в этом процессе: Как мне поступить с взломанным сервером? . Удачи!