在 Microsoft Windows 域的公共 IP 服务器上,我发现使用以下帐户登录ILS_ANONYMOUS_USER。
这是 Microsoft 创建的全域帐户,而不是特定于一台服务器的帐户。
对吗?
笔记:
这是一个可能影响每个 Microsoft 域的安全问题。
勒索软件、病毒和类似病毒的风险很高
答案1
我们有一个受防火墙保护的 RDP 服务器,但是,使用一种未知(对我来说)的方法,有人能够使用远程桌面以交互方式登录服务器。
我偶然注意到了入侵:一次只允许一个用户访问,试图进入时,发现里面还有人。
我们有 MalwareBytes(推荐),它可以阻止已知的勒索软件下载。
值得注意的是ILS_ANONYMOUS_USER是一个无密码账户。
我联系了 Microsoft 安全响应中心[电子邮件保护]然而他们的答案却令人难以置信:
主题:回复:Windows - SecurityFeatureBypass - 使用 ILS_ANONYMOUS_USER VULN-098797 进行远程 RDP 登录 CRM:0450000683
你好,
感谢您联系 Microsoft 安全响应中心 (MSRC)。您报告的内容似乎是错误/产品建议,但不符合安全漏洞的定义。
因此,此主题将被关闭,不再受监控。对于由此造成的任何不便,我们深表歉意。......
但是,安全漏洞确实存在,而微软并未采取任何措施。
解决方案是在每个服务器上使用以下命令限制此帐户的登录编辑MSC:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny Logon locally.
您可以通过查找 C:\Users\ILS_ANONYMOUS_USER 来检查潜在的“访问”,如果该文件夹存在,那么您就没那么幸运了。授予自己管理员权限,根据需要更改所有权,然后查看“下载”文件夹,希望那里没有坏文件。就我而言,我有扫描仪、多个带有用户名的文件、其他带有数千个密码的文件,还有一些已知存在提升问题的旧 Microsoft 已停用应用程序。