Windows的匿名登录
最近进行一些服务器日志采集工作,发现Windows机器上出现很多的anonymous logon记录,Windows确实很少接触,不是非常了解这种登录的形式。
如下是ChatGpt给的说明,
在Windows系统中,"anonymous logon"(匿名登录)通常用于指定允许未经身份验证的用户或计算机访问某些资源或服务的情况。以下是一些常见的场景和用途, 公共共享资源:在某些情况下,系统管理员可能希望提供对某些公共共享资源的匿名访问权限,以便任何用户或计算机都可以访问这些资源,而无需提供具体的凭据。 匿名FTP访问:在FTP服务器上,系统管理员可以配置匿名登录,使用户可以通过FTP协议匿名访问服务器上的文件和目录,通常用于提供公共文件下载服务。 网络共享:在网络共享资源中,管理员可以配置匿名访问权限,允许未经身份验证的用户或计算机访问共享文件夹或打印机。 Web服务器:在某些情况下,Web服务器可能允许匿名访问以提供公共信息或下载服务,匿名登录可以用于访问这些内容而无需提供用户名和密码。 测试和开发环境:在测试和开发环境中,管理员可能希望允许匿名访问以方便测试和开发人员访问资源和服务。 需要注意的是,匿名登录通常会带来安全风险,因为未经身份验证的用户可能会访问敏感信息或对系统造成潜在威胁。因此,在配置匿名登录时,管理员应该谨慎考虑安全性,并确保适当的安全措施和访问控制机制。
从字面的意思,可以理解为无需提供身份信息即可登录操作系统。
网上联系的朋友给出了一些经验,
登录windows 操作系统是必须用用户名登录的,anonymous logon的登录记录应该是从windos的系统日志中得到的(如下图所示),
一般出现anonymous logon的server或者工作站,大部分都是都是开启了文件共。
如果服务器上,只有一个用户可用,像guest用户都是禁用的,可以匿名登录,和服务器上有多少个用户没有关系。
可以打开cmd,输入net share,看到有个C:\Users的共享文件夹,
可以打开文件夹的属性,安全选项卡中,显示组或用户名:Everyone,SYSTEM,Administrators,users,说明任何人都可以匿名登录共享,如果取消everyone,客户端访问共享就需要每次输入用户名和密码。
找的一些其它的资料,可供参考,
ANONYMOUS LOGON在Windows中作为一个重要的安全主体,在其他设备以匿名身份访问本机资源时,默认以此主体权限运行程序。这个主体的权限与Guests相当。当本机用户尝试以此主体权限运行程序时,程序会直接崩溃(权限问题)。它是用于匿名登录获取信息的安全主体,特别是以前NT4不支持计算机实体登录的时候,只能通过这种匿名连接的变通方式获取其他机器信息。在使用ftp或http协议下载软件的时候,如果不登陆,就是这种状态。它在Windows系统中只能浏览信息:即只能“读”,不能“写”、“执行”、“删除”。 ANONYMOUS LOGON默认情况下拥有的权限
- 文件与文件夹方面:读取(非系统分区所有未加密、未进行二次权限设定的文件) 读取(系统分区下的非系统文件) 拒绝访问(系统分区下的系统文件)
- 用户特权方面:没有任何特权
- 注册表方面:读取(所有非系统项与值) 拒绝访问(系统项与值) 其他方面:拒绝访问 (注意:仍然有可能黑客使用此主体登录并攻击你的电脑或服务器)
ANONYMOUS LOGON频繁登录/注销 在调查服务器安全日志时,查看 事件查看器->安全性 ,如果发现频繁出现大量的ANONYMOUS LOGON登陆/注销日志,则可能有如下状况, 使用了文件和打印机共享 当内网用户访问这些共享的内容时,就会记录登录/注销这些信息。 若想阻止,可以打开 开始菜单>运行>输入 “wf.msc” >高级安全windows防火墙>“入站规则”和“出站规则”,阻止所有“文件和打印机共享”即可。但是在内网共享的资源,将不能用匿名登录和guest访问。 解决方法 如果没有开启任何共享,则很有可能是此状况。 解决方法 首先停用所有可疑账户,自用管理员权限账户更改密码,然后排查对方渗透方式。 接下来调查所有的进程、服务、启动项,用工具看下有没有隐藏账户(如果有则删除),“轻松使用”是否被留下后门。 本地程序尝试调用以匿名身份运行 如果上述两种情况都不是,则可能是此情况。需要找到最近安装的程序,检查是否有这种问题。
ChatGPT提供的Windows 10中关闭匿名登录的操作,
在 Windows 10 中,关闭匿名登录(anonymous logon)可以通过以下步骤完成, 使用本地安全策略 按下 Win + R 打开运行对话框,输入 secpol.msc 并按 Enter 打开本地安全策略。 在左侧导航栏中,依次展开 "本地策略" > "安全选项"。 在右侧窗格中找到 "网络访问:拒绝作为匿名用户进行网络访问" 这个策略。 双击该策略,在弹出的窗口中选择 "已启用",然后点击 "确定" 保存更改。 编辑注册表 按下 Win + R 打开运行对话框,输入 regedit 并按 Enter 打开注册表编辑器。 转到以下注册表项, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 在右侧窗格中找到名为 "EveryoneIncludesAnonymous" 的键,将其值从 1 改为 0。 如果没有找到该键,可以右键点击右侧窗格空白处,选择 "新建" -> "DWORD (32 位) 值",然后命名为 "EveryoneIncludesAnonymous",并将其值设置为 0。 重启计算机 重启计算机以使更改生效。 通过上述步骤,可以在 Windows 10 中关闭匿名登录,从而增强系统的安全性,防止未经身份验证的用户访问资源。请注意,对系统进行更改前,请确保您有管理员权限,并谨慎操作,以免影响系统稳定性和功能。
正如微软官方文档中说的,"如果你使用Microsoft帐户登录Windows,则需要使用密码。无论你登录到什么样的电脑,或者在登录时使用什么样的应用、设置和服务,密码都有助于保护帐户安全。"