Tengo una cuenta de servidor VPS para algunos proyectos y estaba solucionando un problema antes cuando apareció lo siguiente en los registros (entre el torrente de robots que intentaban adivinar los detalles de la cuenta...). Estoy bastante sorprendido por esto; la cuenta de invitado está claramente deshabilitada en el panel de control de usuario de Windows.
¿Alguna idea de lo que podría estar pasando aquí?
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xed801aa
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: WIN7USE-NAN0EX2
Source Network Address: 114.38.156.233
Source Port: 55598
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
EDITAR: Sí, el Firewall de Windows está activado y la máquina está actualizada con parches. Los servicios en ejecución y accesibles externamente son IIS, DNS, hMailServer y Dropbox (para mover copias de seguridad, aunque están temporalmente deshabilitadas). Por lo demás, las reglas de firewall son las predeterminadas por el proveedor de VPS.
Respuesta1
En primer lugar, ANONYMOUS LOGON
no es la cuenta de Invitado, así que no las combinemos. Son cosas separadas. A menos que su servidor esté muy mal configurado, estos eventos sonprobablementeinofensivo. Por ejemplo, Windows nunca permitirá que alguien inicie sesión interactivamente en la computadora con un inicio de sesión anónimo.
Hay ciertos pequeños fragmentos de información que, de forma predeterminada, Windows proporcionará de forma anónima. Por ejemplo, otra computadora en la red intenta enumerar archivos compartidos en su computadora. Eso registrará un inicio de sesión anónimo. Porque no tuvieron que autenticarse en una cuenta de usuario solo para ver si estás alojando algún archivo compartido.
Verá estos inicios de sesión anónimos, también denominados sesiones nulas. Para crear una sesión nula, intente esto:
C:\>net use \\PC01\ipc$ "" /user:""
The command completed successfully.
Eso desencadenará un evento de seguridad exactamente como el que publicaste anteriormente. Pero no he pirateado exactamente tu máquina en este momento... así que no hay mucho de qué preocuparse.per se. No hay mucho que puedas hacer con una sesión nula. Y puede restringirlo aún más con GPO/Política de seguridad local:
- Acceso a la red: permitir la traducción anónima de SID/nombre
- Acceso a la red: no permitir la enumeración anónima de cuentas SAM
- Acceso a la red: no permita la enumeración anónima de cuentas y recursos compartidos SAM
- Acceso a la red: Permitir que todos los permisos se apliquen a usuarios anónimos
- Acceso a la red: Canalizaciones con nombre a las que se puede acceder de forma anónima
- Acceso a la red: recursos compartidos a los que se puede acceder de forma anónima
(Estas políticas se encuentran en el complemento Microsoft Management Console—MMC—Política de seguridad local en Configuración del equipo\Configuración de Windows\SecuritySettings\Local Policies\SecurityOptions).
Pero como dijo EEAA, lo que usteddeberíaLo que más nos preocupa es que alguien en Taiwán tenga la conectividad de red necesaria con su máquina para realizar esa conexión de red en primer lugar. Eso significa que su firewall tiene agujeros que debe cerrar.
Cerraría todo excepto el 3389 para que puedas acceder a tu computadora de forma remota, y los puertos 80 y 443 si es un servidor web... o simplemente lo que necesitas, como dijo EEAA. No sabemos qué hace todo su VPS. :)