关闭系统匿名登录

事件类型:    审核成功
事件来源:    Security
事件种类:    登录/注销
事件 ID:    540
日期:        2012-12-15
事件:        18:14:40
用户:       NT AUTHORITY\ANONYMOUS LOGON
计算机:    HZ-XXXXX
描述:
成功的网络登录:
     用户名:   
     域:        
     登录 ID:        (0x0,0xD3966B)
     登录类型:    3
     登录过程:    NtLmSsp
     身份验证数据包:    NTLM
     工作站名:    SVCTAG-JPLJK2X
     登录 GUID:    -
     调用方用户名:    -
     调用方域:    -
     调用方登录 ID:    -
     调用方进程 ID: -
     传递服务: -
     源网络地址:    119.44.222.99
     源端口:    0


有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
注：红色字样显示为匿名登录的记录

问题：我的服务器最近一个月里大半夜经常有 NT AUTHORITY\ANONYMOUS LOGON 频繁登陆，而且时常会造成系统重启或死机的现象发生。请问这个用户是系统自己生成的安全用户，还是黑客建立的用户，怎么还是匿名登陆？请问这个帐户、现象 是安全、正常的么？

回答：从理论上来讲NT AUTHORITY\ANONYMOUS LOGON是正常的，但容易被利用，你可以将原来的默认Administrator帐号重命名（这个帐号不能删除），然后再设置一个复杂的密码，然后再重 新建立一个属于admin组的管理员帐号做备用，以后用你新建立的这个管理员帐号登陆，应该就不会出现ANONYMOUS LOGON的情况了。但这扯到了安全配置上，而要做的工作远不止这些。

从上面的登录记录来看，明显是被人恶意利用进行登录了，虽然只有只读权限，但如若让其读取到系统的某些关键文件还是有可能被其利用进行攻击，所以，最好的做法就是把其直接禁用掉。

解决办法：
除非你关闭了 137-139.445端口，彻底禁用所有网上邻居、windows共享

否则会有这个的，而且很正常。只要有人打开网上邻居，而且里面有你的电脑、就多半会有这个纪录。

方法1 如果你坚持使用网络共享 , 那么走注册表

hkey_local_machine\system\currentControlSet\Services\lanmanserver\parameters

Lmannounce : dword= 0

requiresecuritysignature :dword=1

restrictnullsessaccess :dword = 1

NullSessionPipes = (空)

NullSessionShares =(空)

方法2 如果你觉得你不用别人的网络共享，别人也不能登陆你的

HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters

SMBDeviceEnabled : REG_DWORD = 0

hkey_local_machine\system\currentControlSet\Services\lanmanserver\parameters

Lmannounce : dword= 0

然后禁用server服务

两种方法，反正我用的是方法2。方法2比较狠，没有网络登陆的可能了。