Windows セキュリティ ログに予期しない匿名ログインが記録される

tag-icon tag-icon windows security windows-server-2008-r2
Windows セキュリティ ログに予期しない匿名ログインが記録される

いくつかのプロジェクト用に VPS サーバー アカウントを持っていて、先ほど問題をトラブルシューティングしていたところ、ログに次の内容が表示されました (アカウントの詳細を推測しようとする大量のボットの中に...)。これにはかなり驚きました。Windows のユーザー コントロール パネルでゲスト アカウントが明らかに無効になっているのです。

ここで何が起こっているのか、何か考えはありますか?

An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:        -
    Account Domain:        -
    Logon ID:        0x0

Logon Type:            3

New Logon:
    Security ID:        ANONYMOUS LOGON
    Account Name:        ANONYMOUS LOGON
    Account Domain:        NT AUTHORITY
    Logon ID:        0xed801aa
    Logon GUID:        {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:        0x0
    Process Name:        -

Network Information:
    Workstation Name:    WIN7USE-NAN0EX2
    Source Network Address:    114.38.156.233
    Source Port:        55598

Detailed Authentication Information:
    Logon Process:        NtLmSsp
    Authentication Package:    NTLM
    Transited Services:    -
    Package Name (NTLM only):    NTLM V1
    Key Length:        128

編集: はい、Windows ファイアウォールはオンになっており、マシンには最新のパッチが適用されています。実行中で外部からアクセス可能なサービスは、IIS、DNS、hMailServer、Dropbox (バックアップの移動用ですが、一時的に無効になっています) です。ファイアウォール ルールは、VPS プロバイダーのデフォルトのままです。

答え1

まず、ANONYMOUS LOGONゲストアカウントではないので、この2つを混同しないでください。これらは別のものです。サーバーの設定がひどく間違っていない限り、これらのイベントはおそらく無害です。たとえば、Windows では匿名ログオンを使用して誰かがコンピューターに対話的にログオンすることは決して許可されません。

Windows では、デフォルトで匿名で提供される特定の小さな情報があります。たとえば、ネットワーク上の別のコンピューターが、コンピューター上のファイル共有を列挙しようとした場合、匿名ログオンがログに記録されます。ファイル共有をホストしているかどうかを確認するためだけに、ユーザー アカウントを認証する必要がなかったためです。

このような匿名ログオンは、ヌル セッションとも呼ばれます。ヌル セッションを作成するには、次の操作を試してください。

C:\>net use \\PC01\ipc$ "" /user:""
The command completed successfully.

それは、あなたが上で投稿したものとまったく同じセキュリティイベントを引き起こします。しかし、現時点では私はあなたのマシンをハッキングしたわけではありません...だから、心配することはあまりありませんそれ自体ヌル セッションでできることはあまりありません。GPO/ローカル セキュリティ ポリシーを使用してさらに制限することができます。

  1. ネットワークアクセス: 匿名の SID/名前変換を許可する
  2. ネットワークアクセス: SAM アカウントの匿名列挙を許可しない
  3. ネットワークアクセス: SAM アカウントと共有の匿名列挙を許可しない
  4. ネットワークアクセス: 匿名ユーザーにEveryone権限を適用する
  5. ネットワークアクセス: 匿名でアクセスできる名前付きパイプ
  6. ネットワークアクセス: 匿名でアクセスできる共有

(これらのポリシーは、Microsoft 管理コンソール (MMC) のローカル セキュリティ ポリシー スナップインの [コンピューターの構成\Windows の設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション] にあります。)

しかしEEAAが言ったように、すべき心配なのは、そもそもネットワーク接続を確立するために必要なネットワーク接続を台湾の誰かがあなたのマシンに持っているかどうかです。つまり、ファイアウォールに穴があり、それを閉じなければならないということです。

リモートからコンピューターにアクセスできるように 3389 以外のポートをすべて閉じ、Web サーバーの場合はポート 80 と 443 を閉じます... または、EEAA が言うように、必要なものだけを閉じます。VPS が何をするのかはわかりません。:)

関連情報