我有一個用於某些專案的 VPS 伺服器帳戶,並且之前剛剛在解決問題時,日誌中出現了以下內容(在試圖猜測帳戶詳細資訊的機器人洪流中...)。我對此感到相當驚訝;來賓帳戶在 Windows 的使用者控制台中明顯被停用。
你知道這裡可能發生什麼事嗎?
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xed801aa
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: WIN7USE-NAN0EX2
Source Network Address: 114.38.156.233
Source Port: 55598
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
編輯:是的,Windows 防火牆已打開,並且電腦已安裝最新修補程式。正在運作且可從外部存取的服務包括 IIS、DNS、hMailServer 和 Dropbox(用於行動備份,儘管暫時停用)。否則,防火牆規則是 VPS 供應商的預設規則。
答案1
首先,ANONYMOUS LOGON不是來賓帳戶,所以我們不要將兩者混為一談。它們是不同的東西。除非您的伺服器配置嚴重錯誤,否則這些事件是大概無害。例如,Windows 永遠不會讓某人以匿名方式互動式登入電腦。
預設情況下,Windows 會匿名提供某些小資訊。例如,網路上的另一台電腦嘗試列舉您電腦上的檔案共用。這將記錄匿名登入。因為他們不必驗證使用者帳戶只是為了查看您是否託管任何文件共用。
您將看到此類匿名登入也稱為空會話。若要建立空會話,請嘗試以下操作:
C:\>net use \\PC01\ipc$ "" /user:""
The command completed successfully.
這將觸發一個與您上面發布的事件完全相同的安全事件。但目前我還沒有完全侵入你的機器......所以不用太擔心本身。對於空會話,您無能為力。您可以使用 GPO/本地安全策略進一步限制它:
- 網路存取:允許匿名 SID/名稱轉換
- 網路存取:不允許匿名枚舉 SAM 帳戶
- 網路存取:不允許匿名枚舉 SAM 帳戶和共享
- 網路存取:讓Everyone權限應用於匿名用戶
- 網路存取:可以匿名存取的命名管道
- 網路存取:可以匿名存取的共享
(這些策略位於 Microsoft 管理主控台 - MMC - 本機安全性原則管理單元中的電腦設定\Windows 設定\安全性設定\本機原則\安全性選項下。)
但正如 EEAA 所說,你應該令人擔心的是,台灣的某個人甚至擁有與您的電腦所需的網路連接,甚至可以先建立該網路連接。這意味著您的防火牆中有漏洞,您應該關閉。
我會關閉除 3389 之外的所有端口,以便您可以遠端存取您的計算機,如果它是 Web 伺服器,則關閉端口 80 和 443...或者只是您需要的,就像 EEAA 所說的那樣。我們不知道您的 VPS 是做什麼的。 :)