事件类型:    审核成功
事件来源:    Security
事件种类:    登录/注销
事件 ID:    540
日期:        2012-12-15
事件:        18:14:40
用户:       NT AUTHORITY\ANONYMOUS LOGON
计算机:    HZ-XXXXX
描述:
成功的网络登录:
     用户名:   
     域:        
     登录 ID:        (0x0,0xD3966B)
     登录类型:    3
     登录过程:    NtLmSsp
     身份验证数据包:    NTLM
     工作站名:    SVCTAG-JPLJK2X
     登录 GUID:    -
     调用方用户名:    -
     调用方域:    -
     调用方登录 ID:    -
     调用方进程 ID: -
     传递服务: -
     源网络地址:    119.44.222.99
     源端口:    0


有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
注:红色字样显示为匿名登录的记录

问题:我的服务器最近一个月里大半夜经常有 NT AUTHORITY\ANONYMOUS LOGON 频繁登陆,而且时常会造成系统重启或死机的现象发生。请问这个用户是系统自己生成的安全用户,还是***建立的用户,怎么还是匿名登陆?请问这个帐户、现象 是安全、正常的么?

回答:从理论上来讲NT AUTHORITY\ANONYMOUS LOGON是正常的,但容易被利用,你可以将原来的默认Administrator帐号重命名(这个帐号不能删除),然后再设置一个复杂的密码,然后再重 新建立一个属于admin组的管理员帐号做备用,以后用你新建立的这个管理员帐号登陆,应该就不会出现ANONYMOUS LOGON的情况了。但这扯到了安全配置上,而要做的工作远不止这些。

从上面的登录记录来看,明显是被人恶意利用进行登录了,虽然只有只读权限,但如若让其读取到系统的某些关键文件还是有可能被其利用进行***,所以,最好的做法就是把其直接禁用掉。

解决办法:
除非你关闭了 137-139.445端口,彻底禁用所有网上邻居、windows共享

否则会有这个的,而且很正常。只要有人打开网上邻居,而且里面有你的电脑、就多半会有这个纪录。

方法1 如果你坚持使用网络共享 , 那么走注册表

hkey_local_machine\system\currentControlSet\Services\lanmanserver\parameters

Lmannounce : dword= 0

requiresecuritysignature :dword=1

restrictnullsessaccess :dword = 1

NullSessionPipes = (空)

NullSessionShares =(空)

方法2 如果你觉得你不用别人的网络共享,别人也不能登陆你的

HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters

SMBDeviceEnabled : REG_DWORD = 0

hkey_local_machine\system\currentControlSet\Services\lanmanserver\parameters

Lmannounce : dword= 0

然后禁用server服务

两种方法,反正我用的是方法2。方法2比较狠,没有网络登陆的可能了。