4 votes

tas avatar

événements de connexion anonymes troublants dans le journal des événements de la sécurité de Windows

Demandé el 18 de Octobre, 2010
Quand la question a-t-elle été
40902 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un serveur dédié hébergé sur Rackspace Cloud, et ce matin, alors que je vérifiais par hasard le journal des événements de sécurité, j'ai vu une série d'événements de connexion réussie qui sont troublants. Il semble que des adresses IP aléatoires parviennent à se connecter à mon serveur. Comment cela est-il possible ? J'ai un mot de passe administrateur très fort. Suis-je en train d'exagérer ou est-ce que quelqu'un semble accéder à mon serveur d'une manière ou d'une autre ? Il y en a environ 50 en l'espace d'une heure, provenant de différentes adresses IP.

An account was successfully logged on.

Subject:
 Security ID:  NULL SID
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0

Logon Type:   3

New Logon:
 Security ID:  ANONYMOUS LOGON
 Account Name:  ANONYMOUS LOGON
 Account Domain:  NT AUTHORITY
 Logon ID:  0x20a394
 Logon GUID:  {00000000-0000-0000-0000-000000000000}

Process Information:
 Process ID:  0x0
 Process Name:  -

Network Information:
 Workstation Name: ATBDMAIN2
 Source Network Address: 76.164.41.214
 Source Port:  36183

Detailed Authentication Information:
 Logon Process:  NtLmSsp 
 Authentication Package: NTLM
 Transited Services: -
 Package Name (NTLM only): NTLM V1
 Key Length:  128

Est-il probable que quelqu'un ait effectué un balayage de port ou cherché des vulnérabilités, ou pourquoi d'autres IP aléatoires du monde entier voudraient-ils connaître mon serveur ?

Demandé el 18 de Octobre, 2010 par tas

Réponses

Trop de publicités?

5voto

Tom Lehman avatar
Tom Lehman Points 1705

La connexion "anonyme" fait partie des domaines Windows depuis longtemps. En bref, il s'agit de l'autorisation qui permet aux autres ordinateurs de trouver le vôtre dans le voisinage réseau, de trouver les partages de fichiers ou les imprimantes que vous partagez, etc.

C'est aussi la raison pour laquelle les administrateurs de Windows disent de ne jamais accorder de droits de partage au groupe "Tout le monde" (sauf si vous savez ce que vous faites), car "Tout le monde" inclut aussi "personne" - c'est-à-dire ANONYME. Soyez assuré qu'à moins que vous

Quoi qu'il en soit, dans ce cas, vous voulez probablement verrouillez-la avec Paramètres d'enregistrement ou mieux encore, Politiques locales ou de groupe . Regardez dans votre éditeur de politique sous Configuration de l'ordinateur \Windows Paramètres \SecuritySettings\Local Politiques \SecurityOptions pour les options suivantes :

  • Accès au réseau : Autoriser la traduction anonyme SID/Nom
  • Accès au réseau : Ne pas permettre l'énumération anonyme des comptes SAM
  • Accès au réseau : Ne pas permettre l'énumération anonyme des comptes et partages SAM
  • Accès au réseau : Laissez les autorisations de Tout le monde s'appliquer aux utilisateurs anonymes
  • Accès au réseau : Pipes nommés auxquels on peut accéder de manière anonyme.
  • Accès au réseau : Actions auxquelles on peut accéder de manière anonyme
Répondu el 19 de Octobre, 2010 par Tom Lehman (1705 Points )

0voto

Emre Guldogan avatar
Emre Guldogan Points 121

Essayez d'accéder à votre serveur en utilisant le type NetBT (NetBIOS over TCP/IP) \\your-dedi-ip dans la barre d'adresse de l'explorateur Windows, et vous devriez voir les mêmes logs dans les événements de sécurité de votre dedi (même si vous n'entrez pas d'informations d'identification). Si c'est le cas, cela signifie que le port NetBT de votre serveur doit être ouvert. Si vous ne l'utilisez pas, vous devez les fermer sur votre pare-feu (ne pas autoriser le trafic entrant ou sortant via les ports TCP 135-139).

"Dans sa forme la plus simple, NetBIOS sur votre LAN n'est peut-être qu'un mal nécessaire. [ ] [ ] cependant, est un énorme risque pour la sécurité. Toutes sortes d'informations, telles que votre domaine, le groupe de travail et les noms de système, ainsi que ainsi que les informations sur les comptes peuvent être obtenues via NetBIOS. Il est vraiment dans votre intérêt de vous assurer que NetBIOS ne quitte jamais votre réseau." >>

Répondu el 6 de Novembre, 2010 par Emre Guldogan (121 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X