У меня есть учетная запись VPS-сервера для некоторых проектов, и я просто устранял проблему раньше, когда в журналах появилось следующее (среди потока ботов, пытающихся угадать данные учетной записи ...). Я довольно удивлен этим; гостевая учетная запись явно отключена в пользовательской панели управления Windows.
Есть идеи, что здесь может происходить?
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xed801aa
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: WIN7USE-NAN0EX2
Source Network Address: 114.38.156.233
Source Port: 55598
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
РЕДАКТИРОВАТЬ: Да, брандмауэр Windows включен, и машина обновлена с исправлениями. Работающие и доступные извне службы - это IIS, DNS, hMailServer и Dropbox (для перемещения резервных копий, хотя это временно отключено). В остальном правила брандмауэра по умолчанию устанавливаются поставщиком VPS.
Первый, ANONYMOUS LOGON не является гостевой учетной записью, поэтому давайте не будем их объединять. Это разные вещи. Если ваш сервер неправильно настроен, эти события наверное безвреден. Например, Windows никогда не позволит кому-либо интерактивно войти в систему на компьютере с анонимным входом.
Есть определенные небольшие фрагменты информации, которые по умолчанию Windows выдает анонимно. Например, другой компьютер в сети пытается перечислить общие файловые ресурсы на вашем компьютере. Это приведет к анонимному входу в систему. Потому что им не нужно было аутентифицироваться в учетной записи пользователя, чтобы увидеть, размещаете ли вы какие-либо общие файловые ресурсы.
Вы увидите такие анонимные входы в систему, также называемые нулевыми сеансами. Чтобы создать нулевой сеанс, попробуйте следующее:
C:\>net use \\PC01\ipc$ "" /user:""
The command completed successfully.
Это вызовет событие безопасности, подобное тому, которое вы опубликовали выше. Но на данный момент я еще не взломал вашу машину ... так что волноваться особо не о чем как таковой. С нулевым сеансом мало что можно сделать. И вы можете дополнительно ограничить его с помощью GPO / локальной политики безопасности:
(Эти политики находятся в консоли управления Microsoft - MMC - оснастке локальной политики безопасности в папке Computer Configuration \ Windows Settings \ SecuritySettings \ Local Policies \ SecurityOptions.)
Но, как сказал EEAA, что вы должен Беспокойство заключается в том, что у кого-то на Тайване даже есть необходимое сетевое подключение к вашей машине, чтобы даже установить это сетевое подключение. Это означает, что в вашем брандмауэре есть дыры, которые вы должны закрыть.
Я бы закрыл все, кроме 3389, чтобы вы могли получить удаленный доступ к своему компьютеру, и порты 80 и 443, если это веб-сервер ... или просто то, что вам нужно, как сказал EEAA. Мы не знаем, что делают все ваши VPS. :)