服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 什么是Windows事件日志中的匿名login?
Intereting Posts
Linux:有100多个安装到文件夹是否安全? 将Windows工作站备份到Linux服务器的最佳实践? 如何在OS X上SSH SSH密码authentication 如何列出目录中没有被符号链接的目录? 如何创build一个虚拟networking的实践? 有没有最大长度http.nonProxyHosts Apache:创build一个文件目录,不需要文件parsing 如何在Glassfish上启用CORS? Powershell脚本从多个文件夹复制名为'dat'的文件 如何通过PJL从HP打印机读取服务ID和型号? 服务器响应ping,但没有SSH或HTTP访问 NGINX:用前缀重写数字url 在Ubuntu 14.04上重buildRAID10后,磁盘写入速度降低了6倍 使用find和sedrecursion重命名文件 IIS 7.5基本授权问题

什么是Windows事件日志中的匿名login?

我正在玩一台新的Win2008 R2服务器,在线安装和托pipe,直接连接到networking(即没有单独的防火墙)。

服务器被认为是locking在只有RDP启用。 这是一个全新的安装,没有安装软件或angular色/function(除了RDP)。 但在大约30天的时间里,有29000次login尝试失败,但是我也很惊讶地看到很多“成功”的login尝试。

什么是匿名login,下面的例子? 我应该担心吗?

工作站名称和IP地址经常变化。 在29000失败的尝试中,它看起来像僵尸/黑客正试图猜测pipe理员密码。 

Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 28/10/2011 04:45:11 Event ID: 4624 Task Category: Logon Level: Information Keywords: Audit Success User: N/A Computer: WIN-7I8SE0K3F9M Description: An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: ANONYMOUS LOGON Account Name: ANONYMOUS LOGON Account Domain: NT AUTHORITY Logon ID: 0x376b6c Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: SRV001 Source Network Address: 77.39.106.68 Source Port: 1242 Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): NTLM V1 Key Length: 0

  • 事件4624 null sid是有效的事件,但不是实际的用户login事件。
  • 没有networking信息的原因只是本地系统活动。 Windows自己说话。
  • 匿名 ”login很长一段时间一直是Windows域的一部分 – 简而言之,它是允许其他计算机在网上邻居中find你的权限

检查这篇文章: http : //www.morgantechspace.com/2013/10/event-4624-null-sid-repeated-security.html