windows · 2009-07-12

NT AUTHORITY\ANONYMOUS LOGON

windows2003的eventlog里发现大量事件ID为538,事件ID为540的日志
原因是共享,如果NFTS的权限跟FTP的匿名共享都已经做了修改,记得关闭空链接及共享!
修改后已经恢复了…

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
/v RestrictAnonymous /t reg_DWORD /d 00000001 /f

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\
Parameters /v AutoShareWks /t reg_DWORD /d 0 /f

开始 -> 运行 -> 服务(services.msc) -> server -> 停止并禁用!



事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 538
日期: 2009-7-12
事件: 0:42:02
用户: NT AUTHORITY\ANONYMOUS LOGON
计算机: xxx
描述:
用户注销:
用户名: ANONYMOUS LOGON
域: NT AUTHORITY
登录 ID: (0x0,0x225C37)
登录类型: 3

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。


事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 540
日期: 2009-7-12
事件: 0:42:00
用户: NT AUTHORITY\ANONYMOUS LOGON
计算机: xxx
描述:
成功的网络登录:
用户名:
域:
登录 ID: (0x0,0x225C37)
登录类型: 3
登录过程: NtLmSsp
身份验证数据包: NTLM
工作站名: SERVER-3B02951D
登录 GUID: –
调用方用户名: –
调用方域: –
调用方登录 ID: –
调用方进程 ID: –
传递服务: –
源网络地址: 93.85.64.252
源端口: 0

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。