web-dev-qa-db-ja.com

Windowsセキュリティログでの予期しない匿名ログイン

私はいくつかのプロジェクト用のVPSサーバーアカウントを持っており、以下がログに表示されたときに(アカウントの詳細を推測しようとするボットの急流の中で)問題のトラブルシューティングを行っていました。私はこれにかなり驚いています。ゲストアカウントは、Windowsのユーザーコントロールパネルで明らかに無効になっています。

ここで何が起こっているのでしょうか?

An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:        -
    Account Domain:        -
    Logon ID:        0x0

Logon Type:            3

New Logon:
    Security ID:        ANONYMOUS LOGON
    Account Name:        ANONYMOUS LOGON
    Account Domain:        NT AUTHORITY
    Logon ID:        0xed801aa
    Logon GUID:        {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:        0x0
    Process Name:        -

Network Information:
    Workstation Name:    WIN7USE-NAN0EX2
    Source Network Address:    114.38.156.233
    Source Port:        55598

Detailed Authentication Information:
    Logon Process:        NtLmSsp
    Authentication Package:    NTLM
    Transited Services:    -
    Package Name (NTLM only):    NTLM V1
    Key Length:        128

編集:はい、Windowsファイアウォールがオンになっており、マシンは最新のパッチが適用されています。実行中で外部からアクセス可能なサービスは、IIS、DNS、hMailServer、Dropboxです(一時的に無効にされていますが、ラウンドバックアップを移動するため)。それ以外の場合、ファイアウォールルールはVPSサプライヤーからのデフォルトです。

windowssecuritywindows-server-2008-r2
6
eftpotrm

最初、 ANONYMOUS LOGONはGuestアカウントではないため、2つを混同しないでください。それらは別のものです。サーバーの構成が著しく誤っていない限り、これらのイベントはおそらく無害です。たとえば、Windowsでは、匿名ログオンを使用してユーザーが対話的にコンピューターにログオンすることはできません。

Windowsがデフォルトで匿名で提供する特定の小さな情報があります。たとえば、ネットワーク上の別のコンピューターがコンピューター上のファイル共有を列挙しようとしています。匿名のログオンが記録されます。ファイル共有をホストしているかどうかを確認するためだけにユーザーアカウントを認証する必要がなかったためです。

このような匿名ログオンは、nullセッションとも呼ばれます。 nullセッションを作成するには、次のことを試してください。

C:\>Net Use \\PC01\ipc$ "" /user:""
The command completed successfully.

これにより、上記で投稿したのとまったく同じセキュリティイベントがトリガーされます。しかし、私はこの時点であなたのマシンを正確にハッキングしていません...それで、心配することはあまりありませんそれ自体。 nullセッションでできることはあまりありません。また、GPO /ローカルセキュリティポリシーでさらに制限することもできます。

  1. ネットワークアクセス:匿名のSID /名前の変換を許可する
  2. ネットワークアクセス:SAMアカウントの匿名の列挙を許可しない
  3. ネットワークアクセス:SAMアカウントと共有の匿名の列挙を許可しない
  4. ネットワークアクセス:Everyoneのアクセス許可を匿名ユーザーに適用する
  5. ネットワークアクセス:匿名でアクセスできる名前付きパイプ
  6. ネットワークアクセス:匿名でアクセスできる共有

(これらのポリシーは、Microsoft管理コンソール-MMC-ローカルセキュリティポリシースナップインの[コンピューターの構成\ Windowsの設定\セキュリティ設定\ローカルポリシー\セキュリティオプション]にあります。)

しかし、EEAAが言ったように、あなたが心配するのはすべき台湾の誰かが、そもそもそのネットワーク接続を確立するためにあなたのマシンに必要なネットワーク接続さえ持っていることです。つまり、ファイアウォールには穴があり、閉じる必要があります。

3389以外はすべて閉じて、コンピューターにリモートでアクセスできるようにします。また、Webサーバーの場合はポート80と443、またはEEAAのように必要なものだけを閉じます。 VPSの機能がすべてわかりません。 :)

9
Ryan Ries