У меня есть учетная запись VPS-сервера для некоторых проектов, и как раз недавно я занимался устранением неполадок, когда в журналах появилось следующее (среди потока ботов, пытающихся угадать данные учетной записи...). Я довольно удивлен этим; гостевая учетная запись явно отключена в панели управления пользователя Windows.
Есть идеи, что здесь может происходить?
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xed801aa
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: WIN7USE-NAN0EX2
Source Network Address: 114.38.156.233
Source Port: 55598
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
EDIT: Да, брандмауэр Windows включен, и машина обновлена с исправлениями. Работающие и доступные извне службы: IIS, DNS, hMailServer и Dropbox (для перемещения резервных копий, хотя это временно отключено). В остальном правила брандмауэра по умолчанию от поставщика VPS.
решение1
Во-первых, ANONYMOUS LOGONэто не учетная запись гостя, поэтому давайте не будем их смешивать. Это разные вещи. Если только ваш сервер не имеет грубых ошибок в настройках, эти событиявероятнобезвредно. Например, Windows никогда не позволит кому-либо интерактивно войти в компьютер с помощью анонимного входа.
Есть определенные небольшие фрагменты информации, которые Windows по умолчанию выдает анонимно. Например, другой компьютер в сети пытается перечислить общие файлы на вашем компьютере. Это зарегистрирует анонимный вход. Потому что им не нужно было аутентифицироваться в учетной записи пользователя, чтобы просто посмотреть, размещаете ли вы какие-либо общие файлы.
Вы увидите такие анонимные входы, также называемые нулевыми сеансами. Чтобы создать нулевой сеанс, попробуйте это:
C:\>net use \\PC01\ipc$ "" /user:""
The command completed successfully.
Это вызовет событие безопасности, точно такое же, как то, что вы разместили выше. Но я еще не взломал вашу машину на данный момент... так что не о чем особо беспокоитьсякак таковой. С нулевым сеансом мало что можно сделать. И вы можете еще больше ограничить его с помощью GPO/Local Security Policy:
- Сетевой доступ: разрешить анонимную трансляцию SID/имени
- Сетевой доступ: не разрешать анонимный просмотр учетных записей SAM.
- Сетевой доступ: не разрешать анонимный просмотр учетных записей и общих ресурсов SAM.
- Сетевой доступ: разрешить применять разрешения «Все» к анонимным пользователям
- Сетевой доступ: именованные каналы, к которым можно получить анонимный доступ.
- Сетевой доступ: общие ресурсы, к которым можно получить анонимный доступ
(Эти политики находятся в оснастке «Локальная политика безопасности» консоли управления Microsoft (MMC) в разделе «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности».)
Но как сказал EEAA, то, что выдолженбеспокоиться о том, что кто-то в Тайване даже имеет необходимое сетевое подключение к вашей машине, чтобы вообще установить это сетевое соединение. Это означает, что в вашем брандмауэре есть дыры, которые вам следует закрыть.
Я бы закрыл все, кроме 3389, чтобы вы могли получить удаленный доступ к своему компьютеру, и порты 80 и 443, если это веб-сервер... или просто то, что вам нужно, как сказал EEAA. Мы не знаем, что делает ваш VPS. :)