eft*_*trm 6 security windows windows-server-2008-r2
我有一些项目的 VPS 服务器帐户,当日志中出现以下内容时(在试图猜测帐户详细信息的机器人洪流中......),我刚刚解决了一个问题。我对此感到相当惊讶;来宾帐户在 Windows 的用户控制面板中明显被禁用。
有什么想法可能会在这里发生吗?
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xed801aa
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: WIN7USE-NAN0EX2
Source Network Address: 114.38.156.233
Source Port: 55598
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
编辑:是的,Windows 防火墙已打开,并且机器是最新的补丁。正在运行和可从外部访问的服务是 IIS、DNS、hMailServer 和 Dropbox(用于移动备份,但暂时禁用)。防火墙规则是 VPS 供应商的默认设置。
首先,ANONYMOUS LOGON不是来宾帐户,所以我们不要将两者混为一谈。它们是分开的东西。除非您的服务器配置严重错误,否则这些事件可能是无害的。例如,Windows 永远不会让某人以匿名登录方式以交互方式登录到计算机。
默认情况下,Windows 将匿名提供某些少量信息。例如,网络上的另一台计算机试图枚举您计算机上的文件共享。这将记录匿名登录。因为他们不必为了查看您是否托管任何文件共享而对用户帐户进行身份验证。
您将看到此类匿名登录也称为空会话。要创建空会话,请尝试以下操作:
C:\>net use \\PC01\ipc$ "" /user:""
The command completed successfully.
这将触发与您上面发布的完全相同的安全事件。但我不完全黑了你的机器在这一点上...所以它是没有太多的后顾之忧本身。对于空会话,您无能为力。您可以使用 GPO/本地安全策略进一步限制它:
(这些策略位于计算机配置\Windows 设置\安全设置\本地策略\安全选项下的 Microsoft 管理控制台 - MMC - 本地安全策略管理单元中。)
但正如 EEAA 所说,您应该担心的是,台湾有人甚至拥有与您的机器所需的网络连接,甚至可以首先建立网络连接。这意味着您的防火墙中有漏洞,您应该关闭。
我会关闭除 3389 之外的所有内容,以便您可以远程访问您的计算机,如果它是网络服务器,则关闭端口 80 和 443 ……或者只是您需要的,就像 EEAA 所说的那样。我们不知道您所有的 VPS 都在做什么。:)
| 归档时间: |
|
| 查看次数: |
47626 次 |
| 最近记录: |