Windows 보안 로그에 예기치 않은 익명 로그인이 있습니다.

tag-icon tag-icon windows security windows-server-2008-r2
Windows 보안 로그에 예기치 않은 익명 로그인이 있습니다.

일부 프로젝트에 대한 VPS 서버 계정이 있고 이전에 로그에 다음 내용이 나타났을 때 문제를 해결하고 있었습니다(계정 세부 정보를 추측하려는 봇의 급류 중...). 나는 이것에 오히려 놀랐다. 게스트 계정은 Windows 사용자 제어판에서 명확하게 비활성화되어 있습니다.

여기서 무슨 일이 일어나고 있는지 아시나요?

An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:        -
    Account Domain:        -
    Logon ID:        0x0

Logon Type:            3

New Logon:
    Security ID:        ANONYMOUS LOGON
    Account Name:        ANONYMOUS LOGON
    Account Domain:        NT AUTHORITY
    Logon ID:        0xed801aa
    Logon GUID:        {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:        0x0
    Process Name:        -

Network Information:
    Workstation Name:    WIN7USE-NAN0EX2
    Source Network Address:    114.38.156.233
    Source Port:        55598

Detailed Authentication Information:
    Logon Process:        NtLmSsp
    Authentication Package:    NTLM
    Transited Services:    -
    Package Name (NTLM only):    NTLM V1
    Key Length:        128

편집: 예, Windows 방화벽이 켜져 있고 컴퓨터에 패치가 적용되어 최신 상태입니다. 실행 중이고 외부에서 액세스할 수 있는 서비스는 IIS, DNS, hMailServer 및 Dropbox입니다(일시적으로 비활성화되어 있지만 백업 이동용). 그렇지 않은 경우 방화벽 규칙은 VPS 공급업체의 기본값입니다.

답변1

첫째, ANONYMOUS LOGON게스트 계정이 아니므로 둘을 혼동하지 않겠습니다. 그것들은 별개의 것입니다. 서버가 심하게 잘못 구성되지 않은 한 이러한 이벤트는아마해가없는. 예를 들어, Windows에서는 익명 로그온을 사용하여 컴퓨터에 대화형으로 로그온하는 것을 절대 허용하지 않습니다.

기본적으로 Windows에서는 익명으로 제공되는 특정 정보가 있습니다. 예를 들어, 네트워크의 다른 컴퓨터가 사용자 컴퓨터의 파일 공유를 열거하려고 시도합니다. 그러면 익명 로그온이 기록됩니다. 파일 공유를 호스팅하고 있는지 확인하기 위해 사용자 계정을 인증할 필요가 없었기 때문입니다.

null 세션이라고도 하는 익명 로그온이 표시됩니다. 널 세션을 생성하려면 다음을 시도하십시오.

C:\>net use \\PC01\ipc$ "" /user:""
The command completed successfully.

그러면 위에 게시한 것과 똑같은 보안 이벤트가 트리거됩니다. 하지만 지금은 당신의 컴퓨터를 정확하게 해킹하지 않았으니... 걱정할 필요는 없습니다.그 자체로. 널 세션으로 할 수 있는 일은 많지 않습니다. 그리고 GPO/로컬 보안 정책을 사용하여 이를 추가로 제한할 수 있습니다.

  1. 네트워크 액세스: 익명 SID/이름 번역 허용
  2. 네트워크 액세스: SAM 계정의 익명 열거를 허용하지 않습니다.
  3. 네트워크 액세스: SAM 계정 및 공유의 익명 열거를 허용하지 않습니다.
  4. 네트워크 액세스: 익명 사용자에게 모든 권한을 적용하도록 허용
  5. 네트워크 액세스: 익명으로 액세스할 수 있는 명명된 파이프
  6. 네트워크 액세스: 익명으로 액세스할 수 있는 공유

(이러한 정책은 컴퓨터 구성\Windows 설정\SecuritySettings\Local Policies\SecurityOptions 아래의 Microsoft Management Console—MMC—로컬 보안 정책 스냅인에 있습니다.)

하지만 EEAA가 말했듯이~해야 한다걱정되는 점은 대만의 누군가가 애초에 해당 네트워크 연결을 만들기 위해 귀하의 컴퓨터에 필요한 네트워크 연결을 가지고 있다는 것입니다. 이는 방화벽에 닫아야 할 구멍이 있다는 의미입니다.

컴퓨터에 원격으로 액세스할 수 있도록 3389를 제외한 모든 항목을 닫고 웹 서버인 경우 포트 80과 443을 닫거나 EEAA가 말한 것처럼 필요한 포트만 닫습니다. 우리는 귀하의 VPS가 무엇을 하는지 모릅니다. :)

관련 정보