Назад | Перейти на главную страницу

Что такое анонимный вход в журнал событий Windows?

Я играю с новым сервером Win2008 R2, установленным и размещенным в сети с прямым подключением к сети (т.е. без отдельного брандмауэра перед ним).

Предполагается, что сервер заблокирован только с включенным RDP. Это новая установка, без установленного программного обеспечения или включенных ролей / функций (кроме RDP). Но примерно за 30 дней было 29 000 неудачных попыток входа в систему, но я был удивлен, увидев много «успешных».

Что такое анонимный вход, пример ниже? Я должен быть обеспокоен?

Имя и IP-адрес рабочей станции часто меняются. Из 29 000 неудачных попыток похоже, что боты / хакеры пытаются угадать пароль администратора.

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          28/10/2011 04:45:11
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      WIN-7I8SE0K3F9M
Description:
An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        ANONYMOUS LOGON
    Account Name:       ANONYMOUS LOGON
    Account Domain:     NT AUTHORITY
    Logon ID:       0x376b6c
    Logon GUID:     {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   SRV001
    Source Network Address: 77.39.106.68
    Source Port:        1242

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   NTLM V1
    Key Length:     0
  • Мероприятие 4624 null sid является действительным событием, но не фактическим событием входа пользователя в систему.
  • Причина отсутствия сетевой информации заключается в активности локальной системы. Windows разговаривает сама с собой.
  • "анонимный"вход в систему долгое время был частью доменов Windows - короче говоря, это разрешение, которое позволяет другим компьютерам находить ваш в Сетевом окружении.

Проверьте эту статью: http://www.morgantechspace.com/2013/10/event-4624-null-sid-repeated-security.html