У меня есть выделенный сервер, размещенный в Rackspace Cloud, и сегодня утром, когда я случайно проверял журнал событий безопасности, я увидел серию успешных событий входа в систему, которые вызывают беспокойство. Похоже, что случайные IP-адреса каким-то образом успешно «входят» на мой сервер. Как это возможно? У меня очень надежный пароль администратора. Я слишком остро реагирую здесь или похоже, что кто-то каким-то образом обращается к моему серверу? Их около 50 в течение часа с разных IP-адресов.
An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: ANONYMOUS LOGON Account Name: ANONYMOUS LOGON Account Domain: NT AUTHORITY Logon ID: 0x20a394 Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: ATBDMAIN2 Source Network Address: 76.164.41.214 Source Port: 36183 Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): NTLM V1 Key Length: 128
Так что, вероятно, кто-то сканировал порт или искал уязвимости, или еще зачем некоторым случайным IP-адресам со всего мира знать о моем сервере?
«Анонимный» вход в систему долгое время был частью доменов Windows - короче говоря, это разрешение, которое позволяет другим компьютерам находить ваш в Сетевом окружении, находить общие файловые ресурсы или принтеры, которые вы используете, и т. Д.
Именно поэтому администраторы Windows говорят никогда не предоставлять разрешения на общий доступ группе «Все» (если вы не знаете, что делаете), потому что «Все» также включает в себя «никто» - э-э, АНОНИМНЫЙ. Будьте уверены, что если вы
В любом случае, в этом случае вы, вероятно, захотите заблокировать это с участием Настройки реестра или еще лучше, Локальные или групповые политики. Загляните в свой редактор политики в Конфигурация компьютера \ Параметры Windows \ SecuritySettings \ Local Policies \ SecurityOptions для следующих опций:
Попробуйте получить доступ к вашему серверу, используя тип NetBT (NetBIOS через TCP / IP) \\your-dedi-ip
в адресной строке проводника Windows, и вы должны увидеть те же журналы событий безопасности вашего dedi (даже если вы не вводите никаких учетных данных). Если это так, это означает, что ваш NetBT-порт вашего сервера должен быть открыт. Если вы не используете его, вам следует закрыть их на своем брандмауэре (не разрешать входящий или исходящий трафик через TCP-порты 135-139).
«В простейшем случае NetBIOS в вашей локальной сети может быть просто неизбежным злом. NetBIOS в вашей глобальной сети или в Интернете, однако, представляет собой огромную угрозу безопасности. Всевозможная информация, такая как ваш домен, имена рабочих групп и системы, а также информацию об учетной записи можно получить через NetBIOS. В ваших интересах убедиться, что NetBIOS никогда не покидает вашу сеть ». >>