Я не могу понять, как полностью отключить анонимный вход в Windows Server 2016, который не является контроллером домена (обычный экземпляр). С текущими настройками я действительно удивлен, увидев такие входы в систему, которые стоят напротив описания соответствующих настроек в SecPol.msc. Я включил аудит входа в систему.
У меня есть следующие записи устанавливать в настройках локальной политики:
Доступ к сети: разрешить анонимный перевод SID / имени: отключить
Доступ к сети: Запретить анонимное перечисление учетных записей SAM: Включено
Доступ к сети: Запретить анонимное перечисление учетных записей и общих ресурсов SAM: Включено
Доступ к сети: разрешить всем применять к анонимным пользователям разрешения: отключено
Доступ к сети: именованные каналы, к которым можно получить анонимный доступ: нет
Доступ к сети: общие ресурсы, к которым можно получить доступ анонимно: нет
Более того, я полностью отключил NTLMv1 настройкой «Отправлять NTLMv2 только с ответом» в secpol.msc.
Тем не менее, я получаю следующие записи об успешном аудите в журнале событий:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Information:
Logon Type: 3
Restricted Admin Mode: -
Virtual Account: No
Elevated Token: No
Impersonation Level: Impersonation
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xDC9CEC8
Linked Logon ID: 0x0
Network Account Name: -
Network Account Domain: -
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: -
Source Network Address: xxxxxxx
Source Port: 59691
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 0
Также не удалось выполнить следующую попытку:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: ADMIN
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: \\xxxxx
Source Network Address: xxxxxxx
Source Port: 1339
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Прямо сейчас я использую автоматический автономный анализ журнала, чтобы заблокировать предыдущие.
Есть идеи, как полностью заблокировать анонимный вход?