ANONYMOUS LOGON在Windows中作為一個內置安全主體出現。它主要代表匿名登入的用戶,例如Guest用戶。它的全名是:NT AUTHORITY\ANONYMOUS LOGON。
基本介紹
- 中文名:匿名登錄
- 外文名:ANONYMOUS LOGON
- 作業系統:Windows
- 所屬用戶域:NT AUTHORITY
- 可登錄:可以
- 管理員特權:沒有
- 可修改:不能
- SID:S-1-5-7
ANONYMOUS LOGON概述,ANONYMOUS LOGON所屬用戶組,ANONYMOUS LOGON默認情況下擁有的許可權,ANONYMOUS LOGON頻繁登錄/註銷,使用了檔案和印表機共享,其他人嘗試以匿名登錄這台計算機/伺服器,本地程式嘗試調用以匿名身份運行,
ANONYMOUS LOGON概述
ANONYMOUS LOGON在Windows中作為一個重要的安全主體,在其他設備以匿名身份訪問本機資源時,默認以此主體許可權運行程式。這個主體的許可權與Guests相當。當本機用戶嘗試以此主體許可權運行程式時,程式會直接崩潰(許可權問題)。它是用於匿名登錄獲取信息的安全主體,特別是以前NT4不支持計算機實體登錄的時候,只能通過這種匿名連線的變通方式獲取其他機器信息。在使用ftp或http協定下載軟體的時候,如果不登入,就是這種狀態。它在Windows系統中只能瀏覽信息:即只能“讀”,不能“寫”、“執行”、“刪除”。
ANONYMOUS LOGON所屬用戶組
| 組名 | 屬性 | 類型 | SID | 備註 |
|---|---|---|---|---|
Mandatory Label\Untrusted Mandatory Level | N/A | 標籤 | S-1-16-0 | 此組作為ANONYMOUS LOGON在系統中的MIC級別 |
BUILTIN\Guests | 必需的組, 啟用於默認, 啟用的組 | 別名 | S-1-5-32-546 | ANONYMOUS LOGON必須在此組下 |
NT AUTHORITY\NETWORK | 必需的組,啟用於默認, 啟用的組 | 已知組 | S-1-5-2 | ANONYMOUS LOGON必須在此組下 |
NT AUTHORITY\NTLM Authentication | 啟用於默認, 啟用的組 | 已知組 | S-1-5-64-10 | ANONYMOUS LOGON在服務中啟動時在此組內 |
NT AUTHORITY\This Organization | 啟用於默認, 啟用的組 | 已知組 | S-1-5-15 | ANONYMOUS LOGON在服務中啟動時在此組內 |
NULL SID | 禁用的組 | 已知組 | S-1-0-0 | 默認情況下此組不開啟 |
ANONYMOUS LOGON默認情況下擁有的許可權
1. 檔案與資料夾方面:讀取(非系統分區所有未加密、未進行二次許可權設定的檔案)
讀取(系統分區下的非系統檔案)
拒絕訪問(系統分區下的系統檔案)
2. 用戶特權方面:沒有任何特權
3. 註冊表方面:讀取(所有非系統項與值)
拒絕訪問(系統項與值)
其他方面:拒絕訪問
(注意:仍然有可能黑客使用此主體登錄並攻擊你的電腦或伺服器)
ANONYMOUS LOGON頻繁登錄/註銷
在調查伺服器安全日誌時,查看 事件查看器->安全性 ,如果發現頻繁出現大量的ANONYMOUS LOGON登入/註銷日誌,則可能有如下狀況:
使用了檔案和印表機共享
當區域網路用戶訪問這些共享的內容時,就會記錄登錄/註銷這些信息。
若想阻止,可以打開 開始選單>運行>輸入 “wf.msc” >高級安全windows防火牆>“入站規則”和“出站規則”,阻止所有“檔案和印表機共享”即可。但是在區域網路共享的資源,將不能用匿名登錄和guest訪問。
其他人嘗試以匿名登錄這台計算機/伺服器
如果沒有開啟任何共享,則很有可能是此狀況。
解決方法:
首先停用所有可疑賬戶,自用管理員許可權賬戶更改密碼,然後排查對方滲透方式。
接下來調查所有的進程、服務、啟動項,用工具看下有沒有隱藏賬戶(如果有則刪除),“輕鬆使用”是否被留下後門。
本地程式嘗試調用以匿名身份運行
如果上述兩種情況都不是,則可能是此情況。需要找到最近安裝的程式,檢查是否有這種問題。
