Назад | Перейти на главную страницу

тревожные события анонимного входа в систему в журнале событий безопасности Windows

У меня есть выделенный сервер, размещенный в Rackspace Cloud, и сегодня утром, когда я случайно проверял журнал событий безопасности, я увидел серию успешных событий входа в систему, которые вызывают беспокойство. Похоже, что случайные IP-адреса каким-то образом успешно «входят» на мой сервер. Как это возможно? У меня очень надежный пароль администратора. Я слишком остро реагирую здесь или похоже, что кто-то каким-то образом обращается к моему серверу? Их около 50 в течение часа с разных IP-адресов.

An account was successfully logged on.

Subject:
 Security ID:  NULL SID
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0

Logon Type:   3

New Logon:
 Security ID:  ANONYMOUS LOGON
 Account Name:  ANONYMOUS LOGON
 Account Domain:  NT AUTHORITY
 Logon ID:  0x20a394
 Logon GUID:  {00000000-0000-0000-0000-000000000000}

Process Information:
 Process ID:  0x0
 Process Name:  -

Network Information:
 Workstation Name: ATBDMAIN2
 Source Network Address: 76.164.41.214
 Source Port:  36183

Detailed Authentication Information:
 Logon Process:  NtLmSsp 
 Authentication Package: NTLM
 Transited Services: -
 Package Name (NTLM only): NTLM V1
 Key Length:  128

Так что, вероятно, кто-то сканировал порт или искал уязвимости, или еще зачем некоторым случайным IP-адресам со всего мира знать о моем сервере?

«Анонимный» вход в систему долгое время был частью доменов Windows - короче говоря, это разрешение, которое позволяет другим компьютерам находить ваш в Сетевом окружении, находить общие файловые ресурсы или принтеры, которые вы используете, и т. Д.

Именно поэтому администраторы Windows говорят никогда не предоставлять разрешения на общий доступ группе «Все» (если вы не знаете, что делаете), потому что «Все» также включает в себя «никто» - э-э, АНОНИМНЫЙ. Будьте уверены, что если вы

В любом случае, в этом случае вы, вероятно, захотите заблокировать это с участием Настройки реестра или еще лучше, Локальные или групповые политики. Загляните в свой редактор политики в Конфигурация компьютера \ Параметры Windows \ SecuritySettings \ Local Policies \ SecurityOptions для следующих опций:

  • Доступ к сети: разрешить анонимный перевод SID / имени
  • Доступ к сети: запретить анонимное перечисление учетных записей SAM
  • Доступ к сети: не разрешать анонимное перечисление учетных записей и общих ресурсов SAM
  • Доступ к сети: разрешить всем доступ к анонимным пользователям
  • Доступ к сети: именованные каналы, к которым можно получить анонимный доступ
  • Доступ к сети: общие ресурсы, к которым можно получить доступ анонимно.

Попробуйте получить доступ к вашему серверу, используя тип NetBT (NetBIOS через TCP / IP) \\your-dedi-ip в адресной строке проводника Windows, и вы должны увидеть те же журналы событий безопасности вашего dedi (даже если вы не вводите никаких учетных данных). Если это так, это означает, что ваш NetBT-порт вашего сервера должен быть открыт. Если вы не используете его, вам следует закрыть их на своем брандмауэре (не разрешать входящий или исходящий трафик через TCP-порты 135-139).

«В простейшем случае NetBIOS в вашей локальной сети может быть просто неизбежным злом. NetBIOS в вашей глобальной сети или в Интернете, однако, представляет собой огромную угрозу безопасности. Всевозможная информация, такая как ваш домен, имена рабочих групп и системы, а также информацию об учетной записи можно получить через NetBIOS. В ваших интересах убедиться, что NetBIOS никогда не покидает вашу сеть ». >>