我有一个托pipe在Rackspace Cloud上的专用服务器,今天早上,当我偶然地检查安全事件日志时,发现了一系列令人不安的Logon事件。 它看起来随机IP成功“login”到我的服务器莫名其妙。 这怎么可能? 我有一个非常强大的pipe理员密码。 我在这里反应过度,还是看起来有人在某种程度上访问我的服务器? 从不同的IP地址在一个小时的时间范围内,大约有50个。
帐户已成功login。
学科:
安全ID:NULL SID
用户名: -
帐户域名: -
loginID:0x0
logintypes:3
新login:
安全ID:ANONYMOUSlogin
帐户名称:ANONYMOUSlogin
帐户域名:NT AUTHORITY
loginID:0x20a394
loginGUID:{00000000-0000-0000-0000-000000000000}
处理信息:
进程ID:0x0
进程名称: -
networking信息:
工作站名称:ATBDMAIN2
源networking地址:76.164.41.214
源端口:36183
详细的authentication信息:
login过程:NtLmSsp
validation包:NTLM
转换服务: -
包名称(仅限NTLM):NTLM V1
钥匙长度:128
那么是否有人正在进行端口扫描或寻找漏洞,或者为什么世界各地的某些随机IP想知道我的服务器?
“匿名”login很长一段时间一直是Windows域的一部分 – 简而言之,它是允许其他计算机在网上邻居中find您的权限,查找您共享的文件共享或打印机等的权限。
这也是为什么Windowspipe理员说永远不要授予“Everyone”组的共享权限(除非你知道你在做什么),因为“Everyone”也包括“没有人” – 呃,匿名。 放心,除非你
无论如何,在这种情况下,您可能希望使用registry设置或者更好的方式locking 本地或组策略 。 在计算机configuration\ Windows设置\ SecuritySettings \ Local Policies \ SecurityOptions下的策略编辑器中查找以下选项:
尝试通过在Windows资源pipe理器地址栏上使用NetBT(TCP / IP上的NetBIOS)types\\your-dedi-ip访问您的服务器,并且您应该在您的dedi安全事件中看到相同的日志(即使您不input任何凭据)。 如果是这样,那意味着您的服务器的NetBT端口必须打开。 如果你不使用它,你应该closures它们在你的防火墙(不允许通过TCP端口135-139入站或出站stream量)。
“在你的局域网上最简单的NetBIOS可能只是一个必要的罪恶,但是你的广域网或互联网上的NetBIOS是一个巨大的安全风险,各种各样的信息,比如你的域名,工作组和系统名称,以及帐户信息可以通过NetBIOS获得,确保NetBIOS永远不会离开你的networking。 >>