事件類型: 審覈成功
事件來源: Security
事件種類: 登錄/註銷
事件 ID: 540
日期: 2012-12-15
事件: 18:14:40
用戶: NT AUTHORITY\ANONYMOUS LOGON
計算機: HZ-XXXXX
描述:
成功的網絡登錄:
用戶名:
域:
登錄 ID: (0x0,0xD3966B)
登錄類型: 3
登錄過程: NtLmSsp
身份驗證數據包: NTLM
工作站名: SVCTAG-JPLJK2X
登錄 GUID: -
調用方用戶名: -
調用方域: -
調用方登錄 ID: -
調用方進程 ID: -
傳遞服務: -
源網絡地址: 119.44.222.99
源端口: 0
有關更多信息,請參閱在 http://go.microsoft.com/fwlink/events.asp 的幫助和支持中心。
注:紅色字樣顯示爲匿名登錄的記錄
問題:我的服務器最近一個月裏大半夜經常有 NT AUTHORITY\ANONYMOUS LOGON 頻繁登陸,而且時常會造成系統重啓或死機的現象發生。請問這個用戶是系統自己生成的安全用戶,還是***建立的用戶,怎麼還是匿名登陸?請問這個帳戶、現象 是安全、正常的麼?
回答:從理論上來講NT AUTHORITY\ANONYMOUS LOGON是正常的,但容易被利用,你可以將原來的默認Administrator帳號重命名(這個帳號不能刪除),然後再設置一個複雜的密碼,然後再重 新建立一個屬於admin組的管理員帳號做備用,以後用你新建立的這個管理員帳號登陸,應該就不會出現ANONYMOUS LOGON的情況了。但這扯到了安全配置上,而要做的工作遠不止這些。
從上面的登錄記錄來看,明顯是被人惡意利用進行登錄了,雖然只有只讀權限,但如若讓其讀取到系統的某些關鍵文件還是有可能被其利用進行***,所以,最好的做法就是把其直接禁用掉。
解決辦法:
除非你關閉了 137-139.445端口,徹底禁用所有網上鄰居、windows共享
否則會有這個的,而且很正常。只要有人打開網上鄰居,而且裏面有你的電腦、就多半會有這個紀錄。
方法1 如果你堅持使用網絡共享 , 那麼走註冊表
hkey_local_machine\system\currentControlSet\Services\lanmanserver\parameters
Lmannounce : dword= 0
requiresecuritysignature :dword=1
restrictnullsessaccess :dword = 1
NullSessionPipes = (空)
NullSessionShares =(空)
方法2 如果你覺得你不用別人的網絡共享,別人也不能登陸你的
HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters
SMBDeviceEnabled : REG_DWORD = 0
hkey_local_machine\system\currentControlSet\Services\lanmanserver\parameters
Lmannounce : dword= 0
然後禁用server服務
兩種方法,反正我用的是方法2。方法2比較狠,沒有網絡登陸的可能了。
關閉系統匿名登錄
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.