bla*_*oil 4 security windows windows-event-log
我有一个托管在 Rackspace Cloud 上的专用服务器,今天早上,当我随意检查安全事件日志时,我看到了一系列令人不安的成功登录事件。似乎随机 IP 以某种方式成功“登录”到我的服务器。这怎么可能?我有一个非常强的管理员密码。我在这里反应过度,还是看起来有人正在以某种方式访问我的服务器?在一个小时的时间跨度内,大约有 50 个来自不同的 IP 地址。
一个帐户已成功登录。
主题:
安全 ID:NULL SID
用户名: -
账户域:-
登录 ID:0x0
登录类型:3
新登录:
安全 ID:匿名登录
帐户名称:匿名登录
账户域:NT AUTHORITY
登录 ID:0x20a394
登录 GUID:{00000000-0000-0000-0000-000000000000}
处理信息:
进程 ID:0x0
进程名称:-
网络信息:
工作站名称:ATBDMAIN2
源网络地址:76.164.41.214
源端口:36183
详细认证信息:
登录过程:NtLmSsp
身份验证包:NTLM
过境服务:-
软件包名称(仅限 NTLM):NTLM V1
密钥长度:128
那么是否可能有人在进行端口扫描或寻找漏洞,或者为什么来自世界各地的一些随机 IP 想要了解我的服务器?
“匿名”登录长期以来一直是 Windows 域的一部分——简而言之,它是允许其他计算机在网上邻居中找到您的登录、查找您共享的文件共享或打印机等的权限。
这也是为什么 Windows 管理员说永远不要向“所有人”组授予共享权限(除非您知道自己在做什么),因为“所有人”还包括“没人”——呃,匿名。请放心,除非你
无论如何,在这种情况下,您可能希望使用注册表设置或更好的本地或组策略来锁定它。在计算机配置\Windows 设置\安全设置\本地策略\安全选项下的策略编辑器中查找以下选项:
| 归档时间: |
|
| 查看次数: |
39881 次 |
| 最近记录: |