none
ANONYMOUS LOGONの原因について RRS feed

  • 質問

  • SERVER1のイベントログにおいて、下記のような二つログ(ペア?)が出力されています。

    2015/09/18,1:47:36,Security,成功の監査,ログオン/ログオフ ,540,NT AUTHORITY\ANONYMOUS LOGON,SERVER1,ネットワーク ログオンの成功:

    ネットワーク ログオンの成功:

            ユーザー名:    

            ドメイン:              

            ログオン ID:            (0x0,0xE2295E)

            ログオンの種類: 3

            ログオン プロセス:      NtLmSsp

            認証パッケージ: NTLM

            ワークステーション名:   SERVER5

            ログオン GUID:  -

            呼び出し側ユーザー名:   -

            呼び出し側ドメイン:     -

            呼び出し側ログオン ID:  -

            呼び出し側プロセス ID: -

            移行されたサービス: -

            ソース ネットワーク アドレス:   XXX.XX.XXX.XXX(→SERVER5IP

            ソース ポート:  0

    2015/09/18,1:47:36,Security,成功の監査,ログオン/ログオフ ,538,NT AUTHORITY\ANONYMOUS LOGON,SERVER1,ユーザーのログオフ:

            ユーザー名:     ANONYMOUS LOGON

            ドメイン:               NT AUTHORIT       ログオン ID:            (0x0,0xE2295E)

           ログオンの種類: 3

    すべてログを見ると、SERVER5から自動的(32分間隔で)にSERVER1ANONYMOUS LOGON(匿名ログイン)を行っている事になる。SERVER5だけではなく、同一ネットワークのSERVER2SERVER3SERVER4SERVER1へ自動的ANONYMOUS LOGONを行っている。

    ANONYMOUS LOGONには権限が一番低い、ただのアクセスできることの検証を分かっているが、この発生原因はなんでしょか。最初にSERVER5SERVER1の共有フォルダそれともプリンタを一回利用して、SERVER5からSERVER1へ常に接続できることを保証するために、(SERVER5の)OSSERVER1OSへ自動的にANONYMOUS LOGONを行う、そでしょか。

    2015年10月13日 6:03

回答

すべての返信

  • チャブーンです。

    Windows Server 2003で発生している、ということですので、「Computer Browser」サービスに依存する通信で発生した可能性があります。

    ブラウジング(マイネットワークのコンピュータ一覧を表示する機能)において「Computer Browser」は使われますが、一覧を表示する「マスタブラウザ」では36分程度の間隔でリストの一覧を統合します。その際匿名ログオンが行われた可能性はあります。したのページでも言及されているようです。

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/1543fa72-b268-4506-b490-60c306c7a96d/nt-authorityanonymous-logon-entrry-in-event-viewer-security-log?forum=winservergen

    実際は、どのプロセスが匿名ログオンを要求しているか、監査の設定やprocess monitorによるプロセスが行った通信をつぶさに調べないと、はっきりしたことはわかりません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2015年10月14日 0:32
    • 回答としてマーク 佐伯玲 2015年10月30日 1:55
    2015年10月13日 8:26
    モデレータ
  • こんにちは、KATOU_DDOC さん
    フォーラムオペレータの佐伯 玲 です。

    チャブーンさんからの返信はご覧いただけましたでしょうか?
    ご確認いただけましたらご返信いただき、ご参考になった際には「回答としてマーク」いただけますようお願い致しますね。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2015年10月23日 4:56