NT AUTHORITY\ANONYMOUS LOGON

7月 12
Year 2009 小桥流水人家 windows

windows2003的eventlog里发现大量事件ID为538,事件ID为540的日志
原因是共享,如果NFTS的权限跟FTP的匿名共享都已经做了修改,记得关闭空链接及共享!
修改后已经恢复了…

  1. reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 
  2. /v RestrictAnonymous /t reg_DWORD /d 00000001 /f
  3.  
  4. reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\
  5. Parameters /v AutoShareWks /t reg_DWORD /d 0 /f
  6.  
  7. 开始 -> 运行 -> 服务(services.msc) -> server -> 停止并禁用!

  1. 事件类型:    审核成功
  2. 事件来源:    Security
  3. 事件种类:    登录/注销
  4. 事件 ID:    538
  5. 日期:        2009-7-12
  6. 事件:        0:42:02
  7. 用户:        NT AUTHORITY\ANONYMOUS LOGON
  8. 计算机:    xxx
  9. 描述:
  10. 用户注销:
  11.      用户名:    ANONYMOUS LOGON
  12.      域:        NT AUTHORITY
  13.      登录 ID:        (0x0,0x225C37)
  14.      登录类型:    3
  15.  
  16.  
  17. 有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
  1. 事件类型:    审核成功
  2. 事件来源:    Security
  3. 事件种类:    登录/注销
  4. 事件 ID:    540
  5. 日期:        2009-7-12
  6. 事件:        0:42:00
  7. 用户:        NT AUTHORITY\ANONYMOUS LOGON
  8. 计算机:    xxx
  9. 描述:
  10. 成功的网络登录:
  11.      用户名:   
  12.      域:       
  13.      登录 ID:        (0x0,0x225C37)
  14.      登录类型:    3
  15.      登录过程:    NtLmSsp 
  16.      身份验证数据包:    NTLM
  17.      工作站名:    SERVER-3B02951D
  18.      登录 GUID:    -
  19.      调用方用户名:    -
  20.      调用方域:    -
  21.      调用方登录 ID:    -
  22.      调用方进程 ID: -
  23.      传递服务: -
  24.      源网络地址:    93.85.64.252
  25.      源端口:    0
  26.  
  27.  
  28. 有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
, , , , , Leave a comment

2 Comments

  1. 炜煜 On 7月 14th, 2009 / #1 Reply

    厄。。。虽然我手头上很多win2003.但是我看日志都没注意这些也。。我真失职。。


    回复:您老是高手,俺是新手~只能多注意点啦

  2. Longlan On 7月 12th, 2009 / #2 Reply

    签名 ,没有看懂的说


    回复:谢谢您的签名 longlan