已成功让残疾人/匿名访客登录。这是什么?

tag-icon tag-icon login windows-server-2016 event-log guest-account
已成功让残疾人/匿名访客登录。这是什么?

TLDR:Windows Server 日志显示使用禁用的 Guest 帐户成功登录。有人能解释一下这个活动吗?

在我们的 SIEM 中,我从 Windows 2016 Server(不是 DC)看到了以下事件。

{
    "TimeCreated":"2023-05-19T16:09:24.690239100Z",
    "EventID":"4624",
    "Task":12544,
    "Correlation":
        {
            "ActivityID":"{35d37f4c-fa11-4b8b-a9f3-b622a0c3206f}"
        },
    "Keywords":"Audit Success",
    "Channel":"Security",
    "Opcode":"Info",
    "Security":"",
    "Provider":
        {
            "Guid":"{54849625-5478-4994-a5ba-3e3b0328c30d}",
            "Name":"Microsoft-Windows-Security-Auditing"
        },
    "EventRecordID":1047382761,
    "Execution":
        {
            "ThreadID":3388,
            "ProcessID":712
        },
    "Version":2,
    "Computer":"Win Server 2016",
    "Level":"Information",
    "EventData":
        {   
            "WorkstationName":"workstation 1",
            "TargetDomainName":"NT AUTHORITY",
            "VirtualAccount":"%%1843",
            "SubjectUserSid":"S-1-0-0",
            "TargetOutboundDomainName":"-",
            "LogonProcessName":"NtLmSsp",
            "TargetLinkedLogonId":"0x0",
            "ImpersonationLevel":"%%1833",
            "TargetUserName":"ANONYMOUS LOGON",
            "TargetUserSid":"S-1-5-7",
            "IpAddress":"10.5.5.5",
            "ProcessId":"0x0",
            "KeyLength":"128",
            "ProcessName":"-",
            "SubjectUserName":"-",
            "LogonType":"3",
            "TargetOutboundUserName":"-",
            "TransmittedServices":"-",
            "LogonGuid":"{00000000-0000-0000-0000-000000000000}",
            "SubjectLogonId":"0x0",
            "ElevatedToken":"%%1843",
            "RestrictedAdminMode":"-",
            "TargetLogonId":"0x230fd0bae",
            "IpPort":"57627",
            "AuthenticationPackageName":"NTLM",
            "LmPackageName":"NTLM V1",
            "SubjectDomainName":"-"
        },
    "Message":"An account was successfully logged on."
}

从上图我观察到的是:

  1. 通过事件 ID 4624 记录登录成功
  2. 用于登录的用户名是匿名登录,如 SID S-1-5-7 所示
  3. 在这种情况下,编辑后的 ​​IP 地址是内部地址(而不是外部地址)
  4. 登录类型为 3,表示网络登录类型
  5. 在这种情况下,删除的“计算机”是产生此事件的服务器。这是正在登录的服务器。这不是 AD 服务器。
  6. 根据我的挖掘,删除的 WorkstationName 是一台笔记本电脑。

从那时起,我做了一些额外的研究,想知道为什么我看到“成功”的匿名登录,然后遇到了这个问题文章文章指出,从外部地址匿名登录到公开开放 RDP 或 SMB 的服务器可能是无害的。

下面列出了与文章的一些差异以及我在审查后发现的一些情况:

  • 该服务器不对外开放,源地址为内部
  • 我找不到相应的事件 ID 4625s
  • 我能够找到一些带有 \domain\username 的相应 4624,但数字不匹配。例如,我有 10 个带有匿名登录的事件 ID 4624,但只有 5 个带有实际 \domain\username 的事件 ID 4624 与日期/时间一致。这意味着有 5 个其他没有 \domain\username 的事件 ID 4624。

问题是,有人对此活动有所解释吗?

答案1

本文对此进行了充分解释 4624 从外部 IP 匿名登录 Windows Server 成功吗?

以下是该文章的摘录:

如果您的服务器已将 RDP 或 SMB 公开开放给互联网,您可能会在服务器的事件查看器中看到一组此类日志。尽管这些日志显示为事件 ID 4624(通常与成功登录事件相关),但如果没有显示相关事件 ID 4624(帐户名称 \domain\username 和 RDP 类型 10 登录代码或 SMB 类型 3 登录代码),则这些日志不代表成功访问系统。您可以通过查看与登录事件相似的时间范围内的 4625 事件来确认是否失败。

原因是,当用户启动 RDP 或 SMB 连接时,在提示用户输入密码之前,通过 RDP/SMB 的连接将被记录为成功连接。这意味着成功的 4624 将被记录为类型 3 的匿名登录。当用户输入其凭据时,这将失败(如果 4625 不正确)或成功显示为具有适当登录类型和用户名的另一个 4624。

如果这个解释符合你的情况,那么这些是不成功 来自互联网的登录尝试。我希望您的密码足够强,以防遭到暴力攻击。

如果登录成功,则会按照上述说明再次记录。

相关内容