Primeiro, ANONYMOUS LOGON
não é a conta Convidado, então não vamos combinar os dois. Eles são coisas separadas. A menos que seu servidor esteja muito mal configurado, esses eventos provavelmente são inofensivos. Por exemplo, o Windows nunca permitirá que alguém faça logon interativamente no computador com um logon anônimo.
Existem algumas pequenas informações que, por padrão, o Windows distribuirá anonimamente. Por exemplo, outro computador na rede tentando enumerar compartilhamentos de arquivos em seu computador. Isso irá registrar um logon anônimo. Porque eles não precisam autenticar para uma conta de usuário apenas para ver se você está hospedando qualquer compartilhamento de arquivos.
Você verá esses logons anônimos também chamados de sessões nulas. Para criar uma sessão nula, tente isto:
C:\>net use \PC01\ipc$ "" /user:""
The command completed successfully.
Isso acionará um evento de segurança exatamente como o que você postou acima. Mas eu não tenho exatamente hackeado sua máquina neste momento ... então não é muito para se preocupar com per se . Não há muito o que fazer com uma sessão nula. Além disso, você pode restringi-lo ainda mais com GPOs / Política de segurança local:
- Acesso à rede: permitir tradução anônima de SID / nome
- Acesso à rede: não permitir enumeração anônima de contas SAM
- Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM
- Acesso à rede: permitir que as permissões de todos os usuários sejam aplicadas a usuários anônimos
- Acesso à rede: pipes nomeados que podem ser acessados anonimamente
- Acesso à rede: compartilhamentos que podem ser acessados anonimamente
(Essas políticas estão no snap-in Diretiva de segurança local do Console de gerenciamento da Microsoft - MMC - em Configuração do computador \ Configurações do Windows \ Configurações de segurança \ Diretivas locais \ SecurityOptions.)
Mas, como a EEAA disse, o que você deve se preocupar é que alguém em Taiwan tenha até mesmo a conectividade de rede necessária para a sua máquina até mesmo fazer essa conexão de rede. Isso significa que seu firewall tem buracos que você deve fechar.
Eu fecharia tudo, exceto o 3389, para que você pudesse acessar o seu computador remotamente, e as portas 80 e 443, se fosse um servidor web ... ou apenas o que você precisa, como a EEAA disse. Nós não sabemos o que todo o seu VPS faz. :)