トップ回答者
イベントビューアのセキュリティのイベントID:540のログについて

質問
-
OS:Windows Server 2003 R2
イベントビューアのセキュリティで、
イベントID:540
種類:成功の監査
ユーザー:NT AUTHORITY¥ANONYMOUS LOGON
で、説明が
ログオンの種類:3
ログオン プロセス:NtLmSsp
認証パッケージ:NTLM
ワークステーション名:~~~~~~
ソースネットワークアドレス:192.168.1.~
ソースポート:0
と表示されております。
ここで、質問なのですが、
ローカルネットワーク内のPCの名称とIPアドレスは全て把握しているつもりなのですが、
ここに表示されているワークステーション名とソースネットワークアドレスが
身に覚えがないものが表示されております。
これはどういったことなのか、教えていただいてもよろしいでしょうか。
よろしくお願いいたします。
- 移動 山本春海 2012年5月24日 9:11 より適切と思われるカテゴリに移動しました。 (移動元:Windows クライアント開発 - 全般)
回答
すべての返信
-
こんにちは。
単純に考えて、誰かが匿名ログインを行っているか試みているっていう事になると思いますが。
ローカルネットワークは、完全に閉じている環境でしょうか?ルータやファイアウォールで適切にブロック出来ていないなどという事はありませんか?
- 編集済み Keiichi Oumi 2012年5月25日 1:16
-
こんにちは。
確実な事は、提示されている情報だけでは特定できないのですが(^^;
外部からのアクセスの可能性はあるっていうだけです。
ルータのログなども見てみなければわかりませんし、FWでブロックがどのように行われているかなども関係しますよね。
ローカルネットワークのセグメントアドレスが、192.168.1.であれば、実際にアクセスしている機器があるかもしれません。
何か匿名でログインしている(すべき)コンポーネントを使っているかもしれません。
あくまでも「全て把握している前提」で、可能性を示唆したにすぎません。Anonymousログインを許可しているFTPサイトがあったり、IEのホップの問題でも似たような現象が起きたという記事を見かけた事もあります。
ちなみに、無防備なネットワークですと、外部から不思議なWS名で、同様のIPアドレスで、インストールされていないRDBへのログインを試みるパケットが、頻繁に送られてくるといった事などや、Nullセッションでのログインを試みるパケットが送られてくるといった事は、実際に頻繁にあります。
というようなことから、即断はできませんが、
>・たまたま外部接続してきたIPアドレスが192.168.1.~
>・IPアドレス改竄によって、不正アクセスをしようとしていたといった事の証拠などを、ルータやFWのログ、その他の調査ではっきりさせる必要があると思いました。
※そもそも、匿名ログインを許可するつもりが無いという前提での話です。これ大事です。