Ich habe für einige Projekte ein VPS-Serverkonto und habe gerade ein Problem behoben, als in den Protokollen Folgendes auftauchte (neben der Flut von Bots, die versuchten, Kontodetails zu erraten ...). Ich bin ziemlich überrascht darüber; das Gastkonto ist in der Benutzersteuerung von Windows eindeutig deaktiviert.
Irgendwelche Ideen, was hier passieren könnte?
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xed801aa
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: WIN7USE-NAN0EX2
Source Network Address: 114.38.156.233
Source Port: 55598
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
EDIT: Ja, die Windows-Firewall ist eingeschaltet und der Rechner ist mit Patches auf dem neuesten Stand. Folgende Dienste laufen und sind extern zugänglich: IIS, DNS, hMailServer und Dropbox (zum Verschieben von Backups, das ist allerdings vorübergehend deaktiviert). Ansonsten gelten die Firewall-Regeln als Standard des VPS-Anbieters.
Antwort1
Erstens ANONYMOUS LOGONist es nicht das Gastkonto, also vermischen wir die beiden nicht. Es sind zwei verschiedene Dinge. Sofern Ihr Server nicht völlig falsch konfiguriert ist, sind diese Ereignissewahrscheinlichharmlos. Beispielsweise lässt Windows niemals zu, dass sich jemand mit einer anonymen Anmeldung interaktiv am Computer anmeldet.
Es gibt bestimmte kleine Informationen, die Windows standardmäßig anonym weitergibt. Beispielsweise wenn ein anderer Computer im Netzwerk versucht, Dateifreigaben auf Ihrem Computer aufzulisten. Dies protokolliert eine anonyme Anmeldung. Denn sie mussten sich nicht mit einem Benutzerkonto authentifizieren, nur um zu sehen, ob Sie Dateifreigaben hosten.
Solche anonymen Anmeldungen werden auch als Nullsitzungen bezeichnet. Um eine Nullsitzung zu erstellen, versuchen Sie Folgendes:
C:\>net use \\PC01\ipc$ "" /user:""
The command completed successfully.
Das löst ein Sicherheitsereignis aus, das genau dem oben von Ihnen geposteten ähnelt. Aber ich habe Ihren Rechner zu diesem Zeitpunkt noch nicht gehackt ... also besteht kein Grund zur Sorge.an sich. Mit einer Nullsitzung können Sie nicht viel tun. Und Sie können sie mit GPOs/Lokalen Sicherheitsrichtlinien weiter einschränken:
- Netzwerkzugriff: Anonyme SID/Namensübersetzung zulassen
- Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht zulassen
- Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht zulassen
- Netzwerkzugriff: Berechtigungen für „Jeder“ auf anonyme Benutzer anwenden
- Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann
- Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann
(Diese Richtlinien befinden sich im Snap-In „Lokale Sicherheitsrichtlinie“ der Microsoft Management Console (MMC) unter „Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen“.)
Aber wie EEAA sagte, was SiesollenSorgen bereitet Ihnen, dass jemand in Taiwan überhaupt über die erforderliche Netzwerkverbindung zu Ihrem Computer verfügt, um diese Netzwerkverbindung überhaupt herzustellen. Das bedeutet, dass Ihre Firewall Lücken aufweist, die Sie schließen sollten.
Ich würde alles außer 3389 schließen, damit Sie remote auf Ihren Computer zugreifen können, und Port 80 und 443, wenn es sich um einen Webserver handelt ... oder nur das, was Sie brauchen, wie EEAA sagte. Wir wissen nicht, was Ihr VPS alles macht. :)