最近偶然發現Windows安全日志(Win10_64位)中有大量的網絡登錄失敗記錄(事件ID為4625),大量的外網IP嘗試后台登錄我的計算機,感覺公司的網絡已經不安全了,只能自己想辦法盡量保護好自己電腦。
嘗試操作1:禁用Server服務,在“網絡和共享中心”中,關閉所有共享----->無效。
嘗試操作2:編寫一個powershell腳本,用來阻止外網IP----->這個不治本。
$arrayT1=New-Object 'string[,]' 1,1; $arrayList=New-Object System.Collections.ArrayList; $arrayList.Clear(); $stream=Get-EventLog -LogName Security -InstanceID 4625 | Select-Object -Property * | Out-String -Stream [regex]::matches($stream, '(\d+\.){3}\d+') | %{ $count=$arrayList.Count; if ($count -ge 1) { $b=0; for ($i=0;$i -lt $count;$i++) { if ($arrayList[$i][0] -eq [string]$_.Value) { $arrayList[$i][1]+=1; break; } else { $b=$i+1; } } if ($b -eq $count) { $arrayT1=($_.Value,1); $arrayList.add($arrayT1); } } else { $arrayT1=($_.Value,1); $arrayList.add($arrayT1); } } | Out-Null; $count1=$arrayList.Count; $array1=New-Object 'string[]' $count1; for ($i=0;$i -lt $count1;$i++) { $int1=0; $int2=1; for ($j=0;$j -lt $arrayList.Count;$j++){ if ($arrayList[$j][1] -gt $int2) { $int2=$arrayList[$j][1]; $int1=$j; } } $str1=""; $c=16 - [string]$arrayList[$int1][0].length; for ($k=0;$k -lt $c;$k++) { $str1=$str1 + " "; } $array1[$i]=$arrayList[$int1][0] + $str1 + "---> " + $arrayList[$int1][1]; $str2="ForbiddenIP:" + $arrayList[$int1][0]; New-NetFirewallRule -DisplayName $str2 -Direction Inbound -Action Block -RemoteAddress $arrayList[$int1][0] | Out-Null; $arrayList.Remove($arrayList[$int1]); } "Total:" + $count1; $array1;
嘗試操作3:禁用3389,445,23號端口---->親測有效!
(不過電腦仍然還有很多事件ID4624,4627,4672,4688,4720,4724,4726,4728,4729,4797,4799,5379生成;這個懷疑是域環境下的網絡異常問題,又不能脫域,先不管了.......)