Rackspace Cloudでホストされている専用サーバーがあり、今朝、セキュリティイベントログをさりげなくチェックしていたときに、問題のある一連の正常なログオンイベントを確認しました。ランダムなIPが何らかの方法でサーバーに正常に「ログイン」しているようです。これはどのようにして可能ですか?非常に強力な管理者パスワードを持っています。私はここで過剰反応していますか、それとも誰かが私のサーバーに何らかの方法でアクセスしているように見えますか?異なるIPアドレスから1時間以内にこれらの約50があります。
アカウントが正常にログオンしました。 件名: セキュリティID:NULL SID アカウント名:- アカウントドメイン:- ログオンID:0x0 ログオンタイプ:3 新しいログオン: セキュリティID:ANONYMOUS LOGON アカウント名:ANONYMOUS LOGON アカウントドメイン:NT AUTHORITY ログオンID:0x20a394 ログオンGUID:{00000000-0000-0000-0000-000000000000} プロセス情報: プロセスID:0x0 プロセス名:- ネットワーク情報: ワークステーション名:ATBDMAIN2 ソースネットワークアドレス:76.164.41.214 送信元ポート:36183 詳細な認証情報: ログオンプロセス:NtLmSsp 認証パッケージ:NTLM Transited Services:- Package Name(NTLM only):NTLM V1 Key Length:128
では、誰かがポートスキャンを行っていたり、脆弱性を探していたりしたのでしょうか、それともなぜ世界中のランダムなIPが私のサーバーについて知りたいのでしょうか?
「匿名」ログオンは、長い間Windowsドメインの一部でした。つまり、他のコンピュータがネットワークコンピュータで自分のコンピュータを見つけたり、共有しているファイル共有やプリンタを見つけたりできるようにする権限です。
また、Windows管理者が「Everyone」グループに共有アクセス許可を付与しないと言っているのもこのためです(「Everyone」には「誰も」が含まれていないため、匿名です。あなたがいない限り、
とにかく、この場合、おそらく ロックダウンレジストリ設定 または ローカルまたはグループポリシー を使用します。 コンピューターの構成\ Windowsの設定\セキュリティの設定\ローカルポリシー\セキュリティオプションにあるポリシーエディターで次のオプションを確認します。
WindowsエクスプローラーのアドレスバーでNetBT(NetBIOS over TCP/IP)タイプ\\your-dedi-ip
を使用してサーバーにアクセスしようとすると、デディのセキュリティイベントに同じログが表示されます(何も入力しなくても)資格情報)。そうであれば、サーバーのNetBTポートが開いている必要があります。使用しない場合は、ファイアウォール上でそれらを閉じる必要があります(TCPポート135-139)経由の受信または送信トラフィックを許可しないでください)。
「LANでの最も単純なNetBIOSは、必要な悪である可能性があります。ただし、WANまたはインターネット経由のNetBIOSは、非常に大きなセキュリティリスクです。ドメインなどのあらゆる種類の情報、ワークグループ、システム名、およびアカウント情報は、NetBIOSを介して取得できます。NetBIOSがネットワークを離れないようにすることは、本当に最善の方法です。 " >>