什么是 ILS_ANONYMOUS_USER 帐户?

什么是 ILS_ANONYMOUS_USER 帐户?

在 Microsoft Windows 域的公共 IP 服务器上,我发现使用以下帐户登录ILS_ANONYMOUS_USER
这是 Microsoft 创建的全域帐户,而不是特定于一台服务器的帐户。
对吗?

笔记:
这是一个可能影响每个 Microsoft 域的安全问题。
勒索软件、病毒和类似病毒的风险很高

答案1

我们有一个受防火墙保护的 RDP 服务器,但是,使用一种未知(对我来说)的方法,有人能够使用远程桌面以交互方式登录服务器。
我偶然注意到了入侵:一次只允许一个用户访问,试图进入时,发现里面还有人。
我们有 MalwareBytes(推荐),它可以阻止已知的勒索软件下载。

值得注意的是ILS_ANONYMOUS_USER是一个无密码账户。

我联系了 Microsoft 安全响应中心[电子邮件保护]然而他们的答案却令人难以置信:

主题:回复:Windows - SecurityFeatureBypass - 使用 ILS_ANONYMOUS_USER VULN-098797 进行远程 RDP 登录 CRM:0450000683

你好,

感谢您联系 Microsoft 安全响应中心 (MSRC)。您报告的内容似乎是错误/产品建议,但不符合安全漏洞的定义。

因此,此主题将被关闭,不再受监控。对于由此造成的任何不便,我们深表歉意。......

但是,安全漏洞确实存在,而微软并未采取任何措施。
解决方案是在每个服务器上使用以下命令限制此帐户的登录编辑MSC

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny Logon locally.

编辑图像

您可以通过查找 C:\Users\ILS_ANONYMOUS_USER 来检查潜在的“访问”,如果该文件夹存在,那么您就没那么幸运了。授予自己管理员权限,根据需要更改所有权,然后查看“下载”文件夹,希望那里没有坏文件。就我而言,我有扫描仪、多个带有用户名的文件、其他带有数千个密码的文件,还有一些已知存在提升问题的旧 Microsoft 已停用应用程序。

相关内容