Login anônimo inesperado nos logs de segurança do Windows

Navegue suas respostas
5

Eu tenho uma conta de servidor VPS para alguns projetos e estava apenas solucionando um problema anteriormente quando o seguinte apareceu nos logs (entre a torrente de bots tentando adivinhar detalhes da conta ...). Estou bastante surpreso com isso; a conta de convidado está claramente desativada no painel de controle do usuário do Windows.

Alguma idéia do que pode estar acontecendo aqui? 

An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:        -
    Account Domain:        -
    Logon ID:        0x0

Logon Type:            3

New Logon:
    Security ID:        ANONYMOUS LOGON
    Account Name:        ANONYMOUS LOGON
    Account Domain:        NT AUTHORITY
    Logon ID:        0xed801aa
    Logon GUID:        {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:        0x0
    Process Name:        -

Network Information:
    Workstation Name:    WIN7USE-NAN0EX2
    Source Network Address:    114.38.156.233
    Source Port:        55598

Detailed Authentication Information:
    Logon Process:        NtLmSsp
    Authentication Package:    NTLM
    Transited Services:    -
    Package Name (NTLM only):    NTLM V1
    Key Length:        128

EDIT: Sim, o Firewall do Windows está ligado e a máquina está atualizada com os patches. Os serviços em execução e acessíveis externamente são IIS, DNS, hMailServer e Dropbox (para movimentar backups redondos, embora isso esteja temporariamente desativado). As regras de firewall são de outra forma, como padrão, do fornecedor do VPS.

    
por eftpotrm 21.12.2013 / 16:40

1 resposta

8

Primeiro, ANONYMOUS LOGON não é a conta Convidado, então não vamos combinar os dois. Eles são coisas separadas. A menos que seu servidor esteja muito mal configurado, esses eventos provavelmente são inofensivos. Por exemplo, o Windows nunca permitirá que alguém faça logon interativamente no computador com um logon anônimo.

Existem algumas pequenas informações que, por padrão, o Windows distribuirá anonimamente. Por exemplo, outro computador na rede tentando enumerar compartilhamentos de arquivos em seu computador. Isso irá registrar um logon anônimo. Porque eles não precisam autenticar para uma conta de usuário apenas para ver se você está hospedando qualquer compartilhamento de arquivos.

Você verá esses logons anônimos também chamados de sessões nulas. Para criar uma sessão nula, tente isto: 

C:\>net use \PC01\ipc$ "" /user:""
The command completed successfully.

Isso acionará um evento de segurança exatamente como o que você postou acima. Mas eu não tenho exatamente hackeado sua máquina neste momento ... então não é muito para se preocupar com per se . Não há muito o que fazer com uma sessão nula. Além disso, você pode restringi-lo ainda mais com GPOs / Política de segurança local:

  1. Acesso à rede: permitir tradução anônima de SID / nome
  2. Acesso à rede: não permitir enumeração anônima de contas SAM
  3. Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM
  4. Acesso à rede: permitir que as permissões de todos os usuários sejam aplicadas a usuários anônimos
  5. Acesso à rede: pipes nomeados que podem ser acessados anonimamente
  6. Acesso à rede: compartilhamentos que podem ser acessados anonimamente

(Essas políticas estão no snap-in Diretiva de segurança local do Console de gerenciamento da Microsoft - MMC - em Configuração do computador \ Configurações do Windows \ Configurações de segurança \ Diretivas locais \ SecurityOptions.)

Mas, como a EEAA disse, o que você deve se preocupar é que alguém em Taiwan tenha até mesmo a conectividade de rede necessária para a sua máquina até mesmo fazer essa conexão de rede. Isso significa que seu firewall tem buracos que você deve fechar.

Eu fecharia tudo, exceto o 3389, para que você pudesse acessar o seu computador remotamente, e as portas 80 e 443, se fosse um servidor web ... ou apenas o que você precisa, como a EEAA disse. Nós não sabemos o que todo o seu VPS faz. :)

    
por 21.12.2013 / 18:19

Tags

Apache2: 400 Solicitação incorreta com regras de reconfiguração, nada no log de erros? Por que uma conta de confiança entre domínios não exige uma senha?