本地一台电脑是PPPoE拨号连接互联网的,在事件查看器里发现大量审核失败的记录
详细信息里提示账户登录失败,登录进程NtLmSsp,身份验证数据包NTLM,并且显示有陌生的IP
查询发现原因是445端口被攻击导致
在防火墙里关闭445端口,或设置只允许内网IP访问即可
修改对应的防火墙规则,作用域,远程IP地址,只允许本地内网IP访问即可
有个疑问是,宽带运营商一般会主动关闭445、80等端口,不清楚为何还会遭受攻击
本地一台电脑是PPPoE拨号连接互联网的,在事件查看器里发现大量审核失败的记录
详细信息里提示账户登录失败,登录进程NtLmSsp,身份验证数据包NTLM,并且显示有陌生的IP
查询发现原因是445端口被攻击导致
在防火墙里关闭445端口,或设置只允许内网IP访问即可
修改对应的防火墙规则,作用域,远程IP地址,只允许本地内网IP访问即可
有个疑问是,宽带运营商一般会主动关闭445、80等端口,不清楚为何还会遭受攻击