web-dev-qa-db-ja.com

Windowsセキュリティイベントログの匿名ログオンイベントのトラブルシューティング

Rackspace Cloudでホストされている専用サーバーがあり、今朝、セキュリティイベントログをさりげなくチェックしていたときに、問題のある一連の正常なログオンイベントを確認しました。ランダムなIPが何らかの方法でサーバーに正常に「ログイン」しているようです。これはどのようにして可能ですか?非常に強力な管理者パスワードを持っています。私はここで過剰反応していますか、それとも誰かが私のサーバーに何らかの方法でアクセスしているように見えますか?異なるIPアドレスから1時間以内にこれらの約50があります。

アカウントが正常にログオンしました。
 
件名:
セキュリティID:NULL SID 
アカウント名:-
アカウントドメイン:-
ログオンID:0x0 
 
ログオンタイプ:3 
 
新しいログオン:
セキュリティID:ANONYMOUS LOGON 
アカウント名:ANONYMOUS LOGON 
アカウントドメイン:NT AUTHORITY 
ログオンID:0x20a394 
ログオンGUID:{00000000-0000-0000-0000-000000000000} 
 
プロセス情報:
プロセスID:0x0 
プロセス名:-
 
ネットワーク情報:
ワークステーション名:ATBDMAIN2 
ソースネットワークアドレス:76.164.41.214 
送信元ポート:36183 
 
詳細な認証情報:
ログオンプロセス:NtLmSsp 
認証パッケージ:NTLM 
 Transited Services:-
 Package Name(NTLM only):NTLM V1 
 Key Length:128 

では、誰かがポートスキャンを行っていたり、脆弱性を探していたり​​したのでしょうか、それともなぜ世界中のランダムなIPが私のサーバーについて知りたいのでしょうか?

4
blackcoil

「匿名」ログオンは、長い間Windowsドメインの一部でした。つまり、他のコンピュータがネットワークコンピュータで自分のコンピュータを見つけたり、共有しているファイル共有やプリンタを見つけたりできるようにする権限です。

また、Windows管理者が「Everyone」グループに共有アクセス許可を付与しないと言っているのもこのためです(「Everyone」には「誰も」が含まれていないため、匿名です。あなたがいない限り、

とにかく、この場合、おそらく ロックダウンレジストリ設定 または ローカルまたはグループポリシー を使用します。 コンピューターの構成\ Windowsの設定\セキュリティの設定\ローカルポリシー\セキュリティオプションにあるポリシーエディターで次のオプションを確認します。

  • ネットワークアクセス:匿名のSID /名前の変換を許可する
  • ネットワークアクセス:SAMアカウントの匿名の列挙を許可しない
  • ネットワークアクセス:SAMアカウントと共有の匿名の列挙を許可しない
  • ネットワークアクセス:Everyoneのアクセス許可を匿名ユーザーに適用する
  • ネットワークアクセス:匿名でアクセスできる名前付きパイプ
  • ネットワークアクセス:匿名でアクセスできる共有
5
ewall

WindowsエクスプローラーのアドレスバーでNetBT(NetBIOS over TCP/IP)タイプ\\your-dedi-ipを使用してサーバーにアクセスしようとすると、デディのセキュリティイベントに同じログが表示されます(何も入力しなくても)資格情報)。そうであれば、サーバーのNetBTポートが開いている必要があります。使用しない場合は、ファイアウォール上でそれらを閉じる必要があります(TCPポート135-139)経由の受信または送信トラフィックを許可しないでください)。

「LANでの最も単純なNetBIOSは、必要な悪である可能性があります。ただし、WANまたはインターネット経由のNetBIOSは、非常に大きなセキュリティリスクです。ドメインなどのあらゆる種類の情報、ワークグループ、システム名、およびアカウント情報は、NetBIOSを介して取得できます。NetBIOSがネットワークを離れないようにすることは、本当に最善の方法です。 " >>

0
Emre Guldogan