incomodando anonimamente Eventos de logon no log de eventos do Windows Security

Navegue suas respostas
4

Eu tenho um servidor dedicado hospedado no Rackspace Cloud, e esta manhã, enquanto eu estava checando casualmente o log de eventos de segurança, eu vi uma série de eventos de Logon bem-sucedidos que são preocupantes. Parece que os IPs aleatórios estão "logando" com sucesso no meu servidor de alguma forma. Como isso é possível? Eu tenho uma senha de administrador muito strong. Estou exagerando aqui, ou parece que alguém está acessando meu servidor de alguma forma? Existem cerca de 50 destes dentro de um intervalo de tempo de uma hora, a partir de endereços IP diferentes. 

An account was successfully logged on.

Subject:
 Security ID:  NULL SID
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0

Logon Type:   3

New Logon:
 Security ID:  ANONYMOUS LOGON
 Account Name:  ANONYMOUS LOGON
 Account Domain:  NT AUTHORITY
 Logon ID:  0x20a394
 Logon GUID:  {00000000-0000-0000-0000-000000000000}

Process Information:
 Process ID:  0x0
 Process Name:  -

Network Information:
 Workstation Name: ATBDMAIN2
 Source Network Address: 76.164.41.214
 Source Port:  36183

Detailed Authentication Information:
 Logon Process:  NtLmSsp 
 Authentication Package: NTLM
 Transited Services: -
 Package Name (NTLM only): NTLM V1
 Key Length:  128

Então, é provável que alguém tenha feito varreduras de portas ou esteja procurando vulnerabilidades, ou por que outro motivo seria que alguns IPs aleatórios de todo o mundo gostariam de saber sobre o meu servidor?

    
por blackcoil 18.10.2010 / 21:27

2 respostas

5

O logon "anônimo" faz parte dos domínios do Windows há muito tempo - em suma, é a permissão que permite que outros computadores encontrem o seu na Vizinhança na rede, localize quais compartilhamentos de arquivos ou impressoras você está compartilhando, etc. .

É também por isso que os administradores do Windows dizem para nunca conceder permissões de compartilhamento ao grupo "Everyone" (a menos que você saiba o que está fazendo), porque "Everyone" também inclui "nobody" - er, ANONYMOUS. Tenha certeza de que, a menos que você

De qualquer forma, neste caso, você provavelmente deseja bloqueá-lo com configurações de Registy ou melhor ainda, Políticas locais ou de grupo . Consulte o editor de políticas em Configuração do Computador \ Configurações do Windows \ Configurações de Segurança \ Políticas Locais \ SecurityOptions para as seguintes opções:

  • Acesso à rede: permitir tradução anônima de SID / nome
  • Acesso à rede: não permitir enumeração anônima de contas SAM
  • Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM
  • Acesso à rede: permitir que as permissões de todos os usuários sejam aplicadas a usuários anônimos
  • Acesso à rede: pipes nomeados que podem ser acessados anonimamente
  • Acesso à rede: compartilhamentos que podem ser acessados anonimamente
por 19.10.2010 / 01:57
0

Tente acessar seu servidor usando NetBT (NetBIOS sobre TCP / IP) digite \your-dedi-ip na barra de endereços do Windows Explorer e você verá os mesmos registros em seus eventos de segurança de seu dedi (mesmo se você não inserir quaisquer credenciais). Se estiver, significa que sua porta NetBT do servidor deve estar aberta. Se você não usá-lo, você deve fechá-los em seu firewall (não permitir tráfego de entrada ou saída através de portas TCP 135-139).

"At its simplest NetBIOS on your LAN may just be a necessary evil. NetBIOS on your WAN or over the Internet, however, is an enormous security risk. All sorts of information, such as your domain, workgroup and system names, as well as account information is obtainable via NetBIOS. It really is in your best interests to ensure that NetBIOS never leaves your network." >>

    
por 06.11.2010 / 02:10

Tags

Faça com que um servidor de arquivos do Linux seja autenticado no Active Directory. É possível criar automaticamente o diretório pessoal de um usuário? Pare o Apache de gravar entradas de log duplicadas em access_log