[Windows] 长时间开机的 Windows 11 的防火墙突然失效

[小天管理]

Windows 11 企业版，22H2 ，22621.4169

今天在公司，远程回家里的 Windows 11 PC ，提示说远程账户被锁。我觉得很奇怪，虽然我家里的 Win 11 电脑的远程桌面，是映射到公网，但是通过防火墙做了白名单，只允许公司 IP 所在的 /24 段访问，而且还有 wail2ban 保护（类似于 linux 的 fail2ban ），不应该出现这个问题。

回家后，看 Windows 11 的系统日志，发现一大堆国内 IP 通过远程桌面，尝试破解密码，这些 IP 都不是公司的 /24 网段。用 Wireshark 以 ip.src == 攻击者 IP ，抓了一下包，发现攻击者是访问本机 tcp 3389 端口。而且 wail2ban 也没工作。奇怪了，难道防火墙失效？

在防火墙里，禁用了远程桌面规则，然后在局域网里找了台电脑，发现 tcp 能连上本机 3389 tcp 。

然后我在防火墙里，加了一条 block 规则，专门 block 外部访问本机 tcp 3389 端口，也没用。

最可怕的是，本机的防火墙服务，看上去是正常运行的。

然后点击重置防火墙，防火墙的规则被重置为刚装机完毕的情况，所有的自定义规则被删了，远程桌面规则也没启用，但局域网电脑仍然能访问本机 tcp 3389 端口。

我正打算重启电脑，来重装，结果重启电脑后，防火墙功能恢复正常。

我这电脑，长期开着，基本不关闭。

我怀疑，要不某个进程，悄悄地把防火墙功能，以黑客的方式给关闭了。之所以说是以黑客的方式，是因为防火墙服务、规则，看上去一切正常。

或者发生更严重的情况，防火墙发生 0day 漏洞，远程攻击者，可以通过构造特殊数据包，来让防火墙功能失效，让 Windows 11 失去防火墙的保护。

结论：

1.Windows 11 的防火墙，不知为啥失效。

2.wail2ban 也失效。

3.Windows 的多次用户密码错误的自动锁定策略，生效。这是系统的默认规则，装机后就自带的，但只能是被攻击时，才能感觉到。超过一定时间后，账户会自动解锁。