详解:ANONYMOUS LOGON用户
审核成功 2010-3-29 14:45:47 Security 登录/注销 540 ANONYMOUS LOGON
审核成功 2010-3-29 12:54:48 Security 登录/注销 540 ANONYMOUS LOGON
审核成功 2010-3-29 9:10:00 Security 登录/注销 540 ANONYMOUS LOGON
审核成功 2010-3-28 22:54:12 Security 登录/注销 540 ANONYMOUS LOGON
审核成功 2010-3-28 20:22:26 Security 登录/注销 540 ANONYMOUS LOGON
用户组里没有ANONYMOUS LOGON 这个用户,杀毒也没杀出木马程序,求助为什么会出现此现象,是黑客用户吗?
首先说明一下,这个NT AUTHORITY\ANONYMOUS LOGON的登录是很正常的。通过“开始”-“控制面板”-“管理工具”-“事件查看器”-“安全”,我们可以发现,在进入系统时,有多个会话,这些会话包括NT AUTHORITY\SYSTEM、NT AUTHORITY\NETWORK SERVICE、NT AUTHORITY\LOCAL SERVICE、NT AUTHORITY\ANONYMOUS LOGON,还有一个就是“计算机名\用户名”。这些会话分别承担不同的应用,如NT AUTHORITY\SYSTEM代表系统进程,用来启动诸如smss、winlogon等进程。说到这里,你可能就清楚了,这个NT AUTHORITY\ANONYMOUS LOGON也是承担特定的应用。对头,它就是用于匿名登录获取信息的,特别是以前NT4不支持计算机实体登录的时候,只能通过这种匿名连接的变通方式获取其他机器信息 也就是说,他不能对计算机作修改咯
ANONYMOUS LOGON用户权限最低的,只能浏览。ftp或http下载软件的时候,如果不登陆,就是这种状态。
除非你关闭了 137-139.445端口,彻底禁用所有网上邻居、windows共享
否则会有这个的,而且很正常。只要有人打开网上邻居,而且里面有你的电脑、就多半会有这个纪录。
方法1 :如果你坚持使用网络共享 , 那么走注册表
hkey_local_machine\system\currentControlSet\Services\lanmanserver\parameters
Lmannounce : dword= 0
requiresecuritysignature :dword=1
restrictnullsessaccess :dword = 1
NullSessionPipes = (空)
NullSessionShares =(空)
方法2: 如果你觉得你不用别人的网络共享,别人也不能登陆你的
HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters
SMBDeviceEnabled : REG_DWORD = 0
hkey_local_machine\system\currentControlSet\Services\lanmanserver\parameters
Lmannounce : dword= 0
然后禁用server服务
"HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters
SMBDeviceEnabled : REG_DWORD = 0"中“Controlset”是“Controlset001”还是“Controlset002”?