今天在公司,远程回家里的 Windows 11 PC ,提示说远程账户被锁。我觉得很奇怪,虽然我家里的 Win 11 电脑的远程桌面,是映射到公网,但是通过防火墙做了白名单,只允许公司 IP 所在的 /24 段访问,而且还有 wail2ban 保护(类似于 linux 的 fail2ban ),不应该出现这个问题。
回家后,看 Windows 11 的系统日志,发现一大堆国内 IP 通过远程桌面,尝试破解密码,这些 IP 都不是公司的 /24 网段。用 Wireshark 以 ip.src == 攻击者 IP ,抓了一下包,发现攻击者是访问本机 tcp 3389 端口。而且 wail2ban 也没工作。奇怪了,难道防火墙失效?
Windows 11 企业版,22H2 ,22621.4169
今天在公司,远程回家里的 Windows 11 PC ,提示说远程账户被锁。我觉得很奇怪,虽然我家里的 Win 11 电脑的远程桌面,是映射到公网,但是通过防火墙做了白名单,只允许公司 IP 所在的 /24 段访问,而且还有 wail2ban 保护(类似于 linux 的 fail2ban ),不应该出现这个问题。
回家后,看 Windows 11 的系统日志,发现一大堆国内 IP 通过远程桌面,尝试破解密码,这些 IP 都不是公司的 /24 网段。用 Wireshark 以 ip.src == 攻击者 IP ,抓了一下包,发现攻击者是访问本机 tcp 3389 端口。而且 wail2ban 也没工作。奇怪了,难道防火墙失效?
在防火墙里,禁用了远程桌面规则,然后在局域网里找了台电脑,发现 tcp 能连上本机 3389 tcp 。
然后我在防火墙里,加了一条 block 规则,专门 block 外部访问本机 tcp 3389 端口,也没用。
最可怕的是,本机的防火墙服务,看上去是正常运行的。
然后点击重置防火墙,防火墙的规则被重置为刚装机完毕的情况,所有的自定义规则被删了,远程桌面规则也没启用,但局域网电脑仍然能访问本机 tcp 3389 端口。
我正打算重启电脑,来重装,结果重启电脑后,防火墙功能恢复正常。
我这电脑,长期开着,基本不关闭。
我怀疑,要不某个进程,悄悄地把防火墙功能,以黑客的方式给关闭了。之所以说是以黑客的方式,是因为防火墙服务、规则,看上去一切正常。
或者发生更严重的情况,防火墙发生 0day 漏洞,远程攻击者,可以通过构造特殊数据包,来让防火墙功能失效,让 Windows 11 失去防火墙的保护。
结论:
1.Windows 11 的防火墙,不知为啥失效。
2.wail2ban 也失效。
3.Windows 的多次用户密码错误的自动锁定策略,生效。这是系统的默认规则,装机后就自带的,但只能是被攻击时,才能感觉到。超过一定时间后,账户会自动解锁。