事件查看器里有大量审核失败，遭受NTLM攻击的处理方案

本地一台电脑是PPPoE拨号连接互联网的，在事件查看器里发现大量审核失败的记录

详细信息里提示账户登录失败，登录进程NtLmSsp，身份验证数据包NTLM，并且显示有陌生的IP

查询发现原因是445端口被攻击导致

在防火墙里关闭445端口，或设置只允许内网IP访问即可

修改对应的防火墙规则，作用域，远程IP地址，只允许本地内网IP访问即可

有个疑问是，宽带运营商一般会主动关闭445、80等端口，不清楚为何还会遭受攻击