请选择 进入手机版 | 继续访问电脑版

[Window] 服务器频繁出现ANONYMOUS LOGON登录成功登陆/注销日志 是被黑了吗还是攻击

[复制链接]
查看2401 | 回复0 | 2020-9-4 09:00 | 显示全部楼层 |阅读模式
服务器频繁出现ANONYMOUS LOGON登录成功登陆/注销日志 是被黑了吗还是攻击?
不要紧张,其实是一种正常现象。

服务器频繁出现ANONYMOUS LOGON登录成功登陆/注销日志 是被黑了吗还是攻击

服务器频繁出现ANONYMOUS LOGON登录成功登陆/注销日志 是被黑了吗还是攻击

意思是匿名登陆,所以这个用户是最低权限的,只有浏览,也就是只读的权限。ftp或http下载软件的时候,如果不登陆,就是这种状态。
除非你关闭了 137-139.445端口,彻底禁用所有网上邻居、windows共享
否则会有这个的,而且很正常。只要有人打开网上邻居,而且里面有你的电脑、就多半会有这个纪录。

方法1 如果你坚持使用网络共享 , 那么走注册表
hkey_local_machine\system\currentControlSet\Services\lanmanserver\parameters
Lmannounce : dword= 0
requiresecuritysignature :dword=1
restrictnullsessaccess :dword = 1
NullSessionPipes = (空)
NullSessionShares =(空)

方法2 如果你觉得你不用别人的网络共享,别人也不能登陆你的
HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters
SMBDeviceEnabled : REG_DWORD = 0

hkey_local_machine\system\currentControlSet\Services\lanmanserver\parameters
Lmannounce : dword= 0

然后禁用server服务

两种方法,反正我用的是方法2。方法2比较狠,没有网络登陆的可能了。
查看 事件查看器->安全性 时,发现频繁出现大量的ANONYMOUS LOGON登陆/注销日志,这种行为,开始担心是有人尝试匿名登陆服务器(攻击行为),到网上搜了一下,大部份的内容是说可能受攻击了,经过分析和测验,发现是因为服务器有 文件和打印机共享,当内网用户,访问这些共享的内容时,就会记录以上信息,希望能帮助到遇到同样问题的朋友。
解决方法:
    打开windows防火墙->设置->例外->取消掉“文件和打印机共享”即可。但负面结果是,若在内网有共享的资源,将不能用匿名和guest访问。
    我把防火墙的安全级别设置成最高后终于没有看到有登陆日志了,然后防火墙老是跳出一些提示,除了一些别的IP   外,还有192.168.1.*   这样的数据包被拦截,这个不是内网的ip吗,我到别的机子登陆我这台机器,登陆框都不出现了   ,提示无权限!

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

UID
1
贡献
387
丢币
38902
主题
4607
回帖
116
注册时间
2018-9-25
最后登录
2024-3-24