我有一些项目的VPS服务器帐户,只是在日志中出现以下问题时才解决问题(在机器人的洪stream中试图猜测帐户的详细信息…)。 我对此感到惊讶。 来宾帐户在Windows的用户控制面板中显然是禁用的。
任何想法可能发生在这里?
An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: ANONYMOUS LOGON Account Name: ANONYMOUS LOGON Account Domain: NT AUTHORITY Logon ID: 0xed801aa Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: WIN7USE-NAN0EX2 Source Network Address: 114.38.156.233 Source Port: 55598 Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): NTLM V1 Key Length: 128 编辑:是的,Windows防火墙已打开,机器是最新的补丁。 运行和外部访问的服务是IIS,DNS,hMailServer和Dropbox(用于移动回滚备份,但暂时禁用)。 作为VPS供应商的默认防火墙规则。
首先, ANONYMOUS LOGON不是来宾帐户,所以我们不要混淆二者。 他们是分开的东西。 除非您的服务器configuration错误,否则这些事件可能是无害的。 例如,Windows永远不会让某人以匿名login的方式交互地login到计算机。
有一些信息,默认情况下,Windows将匿名发布。 例如,networking上的另一台计算机试图枚举计算机上的文件共享。 这将logging一个匿名login。 因为他们不需要对用户帐户进行身份validation,只是为了查看是否托pipe任何文件共享。
你会看到这样的匿名login也被称为空会话。 要创build一个空会话,试试这个:
C:\>net use \\PC01\ipc$ "" /user:"" The command completed successfully.
这将触发一个安全事件,就像上面发布的安全事件一样。 但是在这一点上我还没有把你的机器完全砍掉……所以这本身就没什么好担心的。 空会话没有太多可做的事情。 你可以进一步限制它与GPO /本地安全策略:
(这些策略位于“计算机configuration\ Windows设置\安全设置\本地策略\安全选项”下的Microsoftpipe理控制台 – MMC本地安全策略pipe理单元中。)
但是EEAA表示,你应该担心的是,台湾的某些人甚至已经具备了连接到你的机器的networking连接,甚至可以把这个networking连接放在第一位。 这意味着你的防火墙有漏洞,你应该closures。
除了3389之外,我会closures所有的东西,这样你就可以远程访问你的计算机了,如果是networking服务器,就可以访问端口80和443,或者只是你需要的东西,就像EEAA说的那样。 我们不知道你所有的VPS是做什么的。 🙂