Windows

刪除阻止埠 445 SMB 流量的 Windows WFP 篩選器 - Server 2008

  • March 1, 2021

客戶在從大部分內部系統訪問關鍵 Windows 2008R2 伺服器的文件共享時遇到問題。快速瀏覽顯示 Windows 防火牆已關閉,但只有少數係統可以訪問共享。

我嘗試了正常的故障排除步驟,甚至重新創建了虛擬網路適配器 (VMware) 並更改了 IP 地址、清除 mac 表、ARP 等。

最後,我在 Windows 過濾平台 (WFP) 中發現了一組過濾器,它們明確阻止了埠 445 流量的進出。這可能是惡意軟體在某些時候造成的,但我正在尋找一種方法來刪除這些過濾器(通過 filterID)或完全禁用過濾系統。

這是我所看到的:https ://pastebin.com/BRhE4sJd

這甚至可能嗎?我在網上看到的只是一個 C++ API


片段:

               <item>
                   <fieldKey>FWPM_CONDITION_IP_LOCAL_PORT</fieldKey>
                   <matchType>FWP_MATCH_EQUAL</matchType>
                   <conditionValue>
                       <type>FWP_UINT16</type>
                       <uint16>445</uint16>
                   </conditionValue>
               </item>
               <item>
                   <fieldKey>FWPM_CONDITION_IP_PROTOCOL</fieldKey>
                   <matchType>FWP_MATCH_EQUAL</matchType>
                   <conditionValue>
                       <type>FWP_UINT8</type>
                       <uint8>6</uint8>
                   </conditionValue>
               </item>
               <item>
                   <fieldKey>FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE</fieldKey>
                   <matchType>FWP_MATCH_EQUAL</matchType>
                   <conditionValue>
                       <type>FWP_UINT8</type>
                       <uint8>1</uint8>
                   </conditionValue>
               </item>
           </filterCondition>
           <action>
               <type>FWP_ACTION_BLOCK</type>
               <filterType/>
           </action>

我們受到了加密貨幣礦工惡意軟體的攻擊。它在 Windows 過濾平台 (WFP) 中添加了 SMB TCP 445 阻塞。

執行以下命令列出策略和過濾列表:

netsh ipsec static show filterlist all
netsh ipsec static show policy all

執行這些以刪除它們:

netsh ipsec static delete policy all
netsh ipsec static delete filterlist all

引用自:https://serverfault.com/questions/850735