windows server 2008 R2 Standard - Parar Logon Anônimo

5

No Windows Server 2008 R2 Standard ED. Temos toneladas de LOGON ANÔNIMO registrados em Visualizar Eventos

Como parar isso? Como desativar o LOGON ANÔNIMO?

Cópia da mensagem:

An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        ANONYMOUS LOGON
    Account Name:       ANONYMOUS LOGON
    Account Domain:     NT AUTHORITY
    Logon ID:       0x7863af9a
    Logon GUID:     {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   ZZC-01309261645
    Source Network Address: 111.xxx.xxx.134
    Source Port:        55xxx

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   NTLM V1
    Key Length:     128

This event is generated when a logon session is created. It is generated on the computer that was accessed.

The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).

The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.

The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
    
por Simon 30.11.2013 / 16:06

1 resposta

-1

Você pode usar uma chave do Registro para restringi-la

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentcontrolSet \ Control \ Lsa

Altere DWORD "RestrictAnonymous" para valor 2

Isso definirá a restrição de nível 2. Tenha cuidado, pois pode quebrar coisas, como visto aqui com problemas associados ao Windows 2000.

link

Você pode querer dar uma olhada na sua máquina, e possivelmente na sua rede, no entanto. Você tem o NTLM em execução, que é um protocolo muito antigo e muito inseguro chamado NT Lan Manager. Você também pode ter portas abertas onde não deveria estar, indicando que você pode não estar protegido por um firewall. A segurança do Windows melhorou com o passar dos anos, mas ainda é perigoso estar "nu" na Internet, especialmente quando o NTLM está acontecendo. Coloque essa coisa atrás de um firewall e, talvez, procure uma visão de segurança profissional em sua configuração.

    
por 30.11.2013 / 16:39