我正在使用安装并在线托管的新 Win2008 R2 服务器,该服务器直接连接到网络(即,它前面没有单独的防火墙)。
据称,服务器已锁定,仅启用了 RDP。这是全新安装,没有安装任何软件,也没有启用任何角色/功能(RDP 除外)。但在大约 30 天内,登录尝试失败了 29,000 次,但令我惊讶的是,也有很多“成功”的尝试。
什么是匿名登录?例如:我应该担心吗?
工作站名称和 IP 地址经常更改。在 29,000 次失败的尝试中,机器人/黑客似乎正在尝试猜测管理员密码。
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 28/10/2011 04:45:11
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: WIN-7I8SE0K3F9M
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0x376b6c
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: SRV001
Source Network Address: 77.39.106.68
Source Port: 1242
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 0
答案1
- 事件4624 空 sid是有效事件但不是实际用户的登录事件。
- 没有网络信息的原因是这只是本地系统活动。Windows 在自言自语。
- 这 ”匿名的“登录长期以来一直是 Windows 域的一部分——简而言之,它是允许其他计算机在网上邻居中找到你的计算机的权限
查看这篇文章:http://www.morgantechspace.com/2013/10/event-4624-null-sid-repeated-security.html