здраствйте! Вин 2003, заметил вот такую штуку. Что ето может значить? И как ето модно побороть! Все ето было написано в Просмотр содбытий — безопасность.
Тип события: Аудит успехов Источник события: Security Категория события: Вход/выход Код события: 540 Дата: 04.02.2009 Время: 0:25:19 Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД Компьютер: SERVER_1C Описание: Успешный сетевой вход в систему: Пользователь: Домен: Код входа: (0x0,0x12EFBAA3) Тип входа: 3 Процесс входа: NtLmSsp Пакет проверки: NTLM Рабочая станция: ADMIN4ER Код GUID: — Имя вызывающего пользователя: — Домен вызывающего: — Код входа вызывающего: — Код процесса вызывающего: — Промежуточные службы:- Адрес сети источника: 192.168.х.х Порт источника: 0
Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».
Цитата:
Сообщение от Domovoy
в сети более 20 компютеров и только етот компютер в етих логах. А почему анонимный?
Вариантов может быть масса я не смогу вам ответить с точностью по какой причине, не зная вашего предприятия и принципа работы сети и серверов. Запись в журнале безопасности появляется из множества факторов таких как: Доступ к объектам находяшихся на щаре, при этом пользователь проходит аутентификацию, либо же проходит как анонимный пользователь при определенных настрйоках и случаях, при входе в систему, при доступе к инным объектам не требующих аутентификацию на уровне логина и пароля. Если есть проксик отдельная история. Вобщемто сами должны понимать что при обращении к серверу происходит таакого рода процедура, которую может выполнять практически любое приложение обращающееся по какимто задачам к вашему серверу
Цитата:
Поставщик поддержки безопасности NT LM (NT LM Security Support Provider)
Обеспечивает безопасность программам, использующим удаленные вызовы процедур (RPC) через транспорты, отличные от именованных каналов. Управляет локальной системной информацией о безопасности на компьютере. Вам необходима данная служба при использовании Message Queuing или Telnet сервера.
Название службы: NtLmSsp Название процесса: lsass.exe По умолчанию в Windows XP Home: Вручную По умолчанию в Windows XP Pro: Вручную Рекомендуемое значение: Вручную Вход от имени: Локальная система
Какие сервисы нужны для нормального функционирования службы Поставщик поддержки безопасности NT LM (NT LM Security Support Provider):
Какие сервисы требуют работу службы Поставщик поддержки безопасности NT LM (NT LM Security Support Provider) для нормального функционирования:
Позволяет удаленному пользователю входить в систему и запускать программы, поддерживает различных клиентов TCP/IP Telnet, включая компьютеры с операционными системами UNIX и Windows. Если эта служба остановлена, то удаленный пользователь не сможет запускать программы.
Название службы: TlntSvr Название процесса: tlntsvr.exe По умолчанию в Windows XP Home: Недоступна По умолчанию в Windows XP Pro: Вручную Рекомендуемое значение: Отключена Вход от имени: Локальная система
Какие сервисы нужны для нормального функционирования службы Telnet (Telnet):
Поставщик поддержки безопасности NT LM (NT LM Security Support Provider) Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC)) TCP/IP Protocol Driver IPSEC driver
Какие службы требуют работу службы Telnet (Telnet):
Прошу помощи в разъяснении вопроса: Windows server 2012 r2 Ежедневно в логах сервера нахожу аудит входа и выхода в систему непонятного мне происхождения, который в 100% случаев (на данный момент времени) имеет длительность не более 1 секунды. Используемая УЗ при этом «Анонимный вход» и процесс входа всегда NtLmSsp.
Иногда отображается рабочая станция, как в случае ниже.(в 90% случаев каждый раз разная) Новый вход: ИД безопасности: АНОНИМНЫЙ ВХОД Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x221F8BBC GUID входа:
Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: —
Сведения о сети: Имя рабочей станции: MICSFBSBA02 Сетевой адрес источника: 121.100.17.194 Порт источника: 34197
Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: — Имя пакета (только NTLM): NTLM V1 Длина ключа: 128
А иногда ничего. Вход с учетной записью выполнен успешно.
Субъект: ИД безопасности: NULL SID Имя учетной записи: — Домен учетной записи: — Код входа: 0x0
Уровень олицетворения: Олицетворение
Новый вход: ИД безопасности: АНОНИМНЫЙ ВХОД Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: Код входа: 0x21FF2F6C GUID входа:
Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: —
Сведения о сети: Имя рабочей станции: Сетевой адрес источника: 148.153.38.78 Порт источника: 54306
Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: — Имя пакета (только NTLM): NTLM V1 Длина ключа: 0
При этом меня беспокоят исходные IP адреса. 99% случаев это страны, отличные от России. А при их трассировке становится понятно, что это, скорее всего прокси-VPNы.
Порты источника — всегда разные. Проверял.. закрыты.
Что я делал: 1) Изменил стандартный порт 3389 2) Привязал к новому порту разрешения использования «только указанный IP» т.е. мой 3) брандмауэру тоже задал параметны на использования удалённого стола только с моего IP 4) Отключил все УЗ (кроме нужных) 5) Проверил права в групповой политике. никаких дополнительных настроект нет для других или незнакомых мне уз. 6) В группе Администраторов добавил только «себя» 7) В группу удалённых рабочих столов разрешил только «себя» 8) Сменил все пароли УЗ.
Но записи аудита как были-так и продолжают ежедневно быть.
В это время в Просмотр событий — Журналы Windows — Безопасность создается лог следующего содержания:
Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 14.08.2009 1:33:52 Код события: 4624 Категория задачи:Вход в систему Уровень: Сведения Ключевые слова:Аудит успеха Пользователь: Н/Д Компьютер: Andrey-PC Описание: Вход с учетной записью выполнен успешно.
Субъект: ИД безопасности: NULL SID Имя учетной записи: — Домен учетной записи: — Код входа: 0x0
Новый вход: ИД безопасности: АНОНИМНЫЙ ВХОД Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x6198dc GUID входа:
Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: —
Сведения о сети: Имя рабочей станции: АКЖОЛ Сетевой адрес источника: 95.58.43.176 Порт источника: 1867
Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: — Имя пакета (только NTLM): NTLM V1 Длина ключа: 128
Что это такое и как это лечить? Подробный просмотр логов журнала безопасности выявил около десятка машин с которых осуществляются подключения. Все машины принадлежат той же подсети, что и моя — 95.57.*.* Единственный способ найденный мной прекратить это — установка в настройках брандмауэра — Блокировать все входящие подключения. Иногда подключение длится несколько секунд, а иногда компьютеры обмениваются чем- то, трафик по 20-30 Мб в обе стороны. Так же заметил, что когда после реконнекта меняется подсеть например на 82.200.*.*, то подключения происходят от тех же машин, но IP у них становится также 82.200.*.*. Ранее когда стояла Windows 7 beta 7000 — после таких подключений в сетевые шары попадали вирусы. Сейчас отключено. Пробовал восстанавливать ранее установленную Висту — ситуация один в один точно такая же. Еще ранее, а точнее около 5-6 лет назад был обнаружен следующий глюк — иногда при подключении к интернету в сетевом окружении компьютера отображались 3-4 десятка машин. (локальной сети небыло, т.е. как-бы «интернет-локалка»), причем не просто отображались, а можно было спокойно заходить в их шары, копировать туда и оттуда файлы и т.д. Через некоторое время, после многочисленных жалоб провайдеру глюк пропал, но несколько раз проявлялся снова. С уважением, Баятаков Андрей
