關閉系統匿名登錄

事件類型:    審覈成功
事件來源:    Security
事件種類:    登錄/註銷
事件 ID:    540
日期:        2012-12-15
事件:        18:14:40
用戶:       NT AUTHORITY\ANONYMOUS LOGON
計算機:    HZ-XXXXX
描述:
成功的網絡登錄:
     用戶名:   
     域:        
     登錄 ID:        (0x0,0xD3966B)
     登錄類型:    3
     登錄過程:    NtLmSsp
     身份驗證數據包:    NTLM
     工作站名:    SVCTAG-JPLJK2X
     登錄 GUID:    -
     調用方用戶名:    -
     調用方域:    -
     調用方登錄 ID:    -
     調用方進程 ID: -
     傳遞服務: -
     源網絡地址:    119.44.222.99
     源端口:    0


有關更多信息，請參閱在 http://go.microsoft.com/fwlink/events.asp 的幫助和支持中心。
注：紅色字樣顯示爲匿名登錄的記錄

問題：我的服務器最近一個月裏大半夜經常有 NT AUTHORITY\ANONYMOUS LOGON 頻繁登陸，而且時常會造成系統重啓或死機的現象發生。請問這個用戶是系統自己生成的安全用戶，還是***建立的用戶，怎麼還是匿名登陸？請問這個帳戶、現象 是安全、正常的麼？

回答：從理論上來講NT AUTHORITY\ANONYMOUS LOGON是正常的，但容易被利用，你可以將原來的默認Administrator帳號重命名（這個帳號不能刪除），然後再設置一個複雜的密碼，然後再重 新建立一個屬於admin組的管理員帳號做備用，以後用你新建立的這個管理員帳號登陸，應該就不會出現ANONYMOUS LOGON的情況了。但這扯到了安全配置上，而要做的工作遠不止這些。

從上面的登錄記錄來看，明顯是被人惡意利用進行登錄了，雖然只有只讀權限，但如若讓其讀取到系統的某些關鍵文件還是有可能被其利用進行***，所以，最好的做法就是把其直接禁用掉。

解決辦法：
除非你關閉了 137-139.445端口，徹底禁用所有網上鄰居、windows共享

否則會有這個的，而且很正常。只要有人打開網上鄰居，而且裏面有你的電腦、就多半會有這個紀錄。

方法1 如果你堅持使用網絡共享 , 那麼走註冊表

hkey_local_machine\system\currentControlSet\Services\lanmanserver\parameters

Lmannounce : dword= 0

requiresecuritysignature :dword=1

restrictnullsessaccess :dword = 1

NullSessionPipes = (空)

NullSessionShares =(空)

方法2 如果你覺得你不用別人的網絡共享，別人也不能登陸你的

HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters

SMBDeviceEnabled : REG_DWORD = 0

hkey_local_machine\system\currentControlSet\Services\lanmanserver\parameters

Lmannounce : dword= 0

然後禁用server服務

兩種方法，反正我用的是方法2。方法2比較狠，沒有網絡登陸的可能了。