刪除阻止埠 445 SMB 流量的 Windows WFP 篩選器 - Server 2008

客戶在從大部分內部系統訪問關鍵 Windows 2008R2 伺服器的文件共享時遇到問題。快速瀏覽顯示 Windows 防火牆已關閉，但只有少數係統可以訪問共享。

我嘗試了正常的故障排除步驟，甚至重新創建了虛擬網路適配器 (VMware) 並更改了 IP 地址、清除 mac 表、ARP 等。

最後，我在 Windows 過濾平台 (WFP) 中發現了一組過濾器，它們明確阻止了埠 445 流量的進出。這可能是惡意軟體在某些時候造成的，但我正在尋找一種方法來刪除這些過濾器（通過 filterID）或完全禁用過濾系統。

這是我所看到的：https ://pastebin.com/BRhE4sJd

這甚至可能嗎？我在網上看到的只是一個 C++ API …

---

片段：

               <item>
                   <fieldKey>FWPM_CONDITION_IP_LOCAL_PORT</fieldKey>
                   <matchType>FWP_MATCH_EQUAL</matchType>
                   <conditionValue>
                       <type>FWP_UINT16</type>
                       <uint16>445</uint16>
                   </conditionValue>
               </item>
               <item>
                   <fieldKey>FWPM_CONDITION_IP_PROTOCOL</fieldKey>
                   <matchType>FWP_MATCH_EQUAL</matchType>
                   <conditionValue>
                       <type>FWP_UINT8</type>
                       <uint8>6</uint8>
                   </conditionValue>
               </item>
               <item>
                   <fieldKey>FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE</fieldKey>
                   <matchType>FWP_MATCH_EQUAL</matchType>
                   <conditionValue>
                       <type>FWP_UINT8</type>
                       <uint8>1</uint8>
                   </conditionValue>
               </item>
           </filterCondition>
           <action>
               <type>FWP_ACTION_BLOCK</type>
               <filterType/>
           </action>

我們受到了加密貨幣礦工惡意軟體的攻擊。它在 Windows 過濾平台 (WFP) 中添加了 SMB TCP 445 阻塞。

執行以下命令列出策略和過濾列表：

netsh ipsec static show filterlist all
netsh ipsec static show policy all

執行這些以刪除它們：

netsh ipsec static delete policy all
netsh ipsec static delete filterlist all

引用自：https://serverfault.com/questions/850735