我被要求查看一台运行缓慢的服务器。现在我承认服务器不是我的强项,但我认为这就像是第二双眼睛一样。
我们确实在安全事件日志中发现了以下内容。
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: <removed>
Logon ID: 0x10b45932
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: 117.21.191.69
Source Port: 58758
我已经在这里看到了这个帖子Windows 安全事件日志中令人不安的匿名登录事件这说明我们应该锁定服务器,因此我们将对此进行更多的阅读。
然而,我们现在主要担心的是,上述登录是否意味着来自中国(如果 IP 确实来自中国)的人可以在某种程度上访问服务器?在这种情况下,我想现在存在的问题比仅仅保护服务器更大……
我已经尝试了上述帖子中的建议,尝试通过 netbios 连接,并且我得到了身份验证框,而不是匿名登录,所以我想这没问题。
答案1
源端口是远程计算机正在连接的端口从,而不是连接的端口到。您可以分析网络防火墙日志,以查看远程计算机尝试连接的端口到在此服务器上。
请注意,如果此服务器正在 IIS 下运行网站,并且该网站配置为使用匿名身份验证,则此活动完全正常。登录类型 3 是网络登录(显然),与 IIS 的匿名连接属于此登录类型。