帶有列印伺服器角色的 Windows server 2003 上的 spoolsv.exe 可疑埠掃描

今天在其中一台伺服器上註意到，事件查看器/安全性有很多"Failure audit"這樣的消息：

該消息每秒重複一次，並且埠號增加一，埠範圍從1025到5000，然後再增加一次。對我來說，這種“埠掃描”看起來很可疑！

我嘗試執行 TCPView 以了解更多詳細資訊，但它只顯示程序、其 ID 和埠。這是 spoolsv.exe 設計的嗎？或者這是某種惡意軟體？有人見過這個嗎？

文件伺服器和列印伺服器角色安裝在伺服器上。

好吧，在定義了預設和非預設列印監視器之後，我們實際上已經備份了所有它們，然後在隨後的Print Spooler服務重新啟動時刪除了所有非標準列印監視器。之後，事件查看器中沒有更多事件，到目前為止，我們還沒有收到最終使用者的任何投訴。

以下是預設列印監視器列表：

• BJ語言監視器
• 本地埠
• PJL 語言監視器
• 標準 TCP/IP 埠
• USB 顯示器

引用自：https://serverfault.com/questions/488892