none
Политика ИБ RRS feed

  • Общие обсуждения

  • Выставлена настройка в  "Локальный компьютер" - "Конфигурация компьютера" -"Конфигурация Windows" -"Назначение прав пользователя"- "Отказать в доступе к этому компьютеру из сети": АНОНИМНЫЙ ВХОД.

    В журнале фиксируется запись с номером 4624 "АНОНИМНЫЙ ВХОД", тип входа 3.

    Почему? Как еще запретить вход на пк по сети?

    • Изменен тип Tomas Lilov 18 мая 2015 г. 5:05

Все ответы

  • Брандмауэром, к примеру.

    Ещё можете отключить учетную запись гостя и на все имеющиеся на ПК учетные записи установить уникальные пароли. В результате вход без знания пароли по сети невозможен.

  • Я считаю, что вышеуказанная настройка политики ИБ должна ПРЕДОТВРАЩАТЬ "Анонимный вход".

    Однако предотвращения не происходит. 1. Почему?

    На встроенном Firewall Windows все входящие подключения запрещены. Учетная запись "Гость" переименована и отключена. Пароль на учетную запись под которой я работаю установлен.

    Выставлена настройка в  "Локальный компьютер" - "Конфигурация компьютера" -"Конфигурация Windows" -"Назначение прав пользователя"- "Отказать во входе в качестве пакетного задания: АНОНИМНЫЙ ВХОД.

    Выставлена настройка в  "Локальный компьютер" - "Конфигурация компьютера" -"Конфигурация Windows" -"Назначение прав пользователя"- "Отказать во входе в качестве службы": АНОНИМНЫЙ ВХОД.

    Сетевой "Анонимный вход" при всех вышеуказанных настройках происходит. 

    2. Как запретить "Анонимный вход"?



  • Скопируйте более подробную информацию из журнала
  • 1. Событие 4624

    Вход с учетной записью выполнен успешно.

    Субъект:
    ИД безопасности: NULL SID
    Имя учетной записи: -
    Домен учетной записи: -
    Код входа: 0x0

    Тип входа: 3

    Новый вход:
    ИД безопасности: АНОНИМНЫЙ ВХОД
    Имя учетной записи: АНОНИМНЫЙ ВХОД
    Домен учетной записи: NT AUTHORITY
    Код входа: 0xb32dd9d
    GUID входа: {00000000-0000-0000-0000-000000000000}

    Сведения о процессе:
    Идентификатор процесса: 0x0
    Имя процесса: -

    Сведения о сети:
    Имя рабочей станции:
    Сетевой адрес источника: -
    Порт источника: -

    Сведения о проверке подлинности:
    Процесс входа: NtLmSsp 
    Пакет проверки подлинности: NTLM
    Промежуточные службы: -
    Имя пакета (только NTLM): NTLM V1
    Длина ключа: 0

    Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

    В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

    2. Событие 4634

    Выполнен выход учетной записи из системы.

    Субъект:
    ИД безопасности: АНОНИМНЫЙ ВХОД
    Имя учетной записи: АНОНИМНЫЙ ВХОД
    Домен учетной записи: NT AUTHORITY
    Код входа: 0xb32dd9d

    Тип входа: 3

    Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.

    3. Некоторые действия против PsExec

    3.1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA is set to 1

    3.2 $IPC, $Admin $c $d недоступны т.к выключена служба server

    3.3 ПК не в домене

    3.4 Все входящие подключения на 135,139, 445 порты по всем протоколам при помощи стандартного брендмауэра Windows запрещены. Версия брендмауэра 1.0.

    По моим предположениям не установлено некоторое обновление, которое позволяет исправть ошибку, позволяющую осуществлять "Анонимный вход " при выставленной настройке в  "Локальный компьютер" - "Конфигурация компьютера" -"Конфигурация Windows" -"Назначение прав пользователя"- "Отказать в доступе к этому компьютеру из сети": АНОНИМНЫЙ ВХОД.

    Каков его номер?

    Обновление групповой политики при вышеуказанной настройке производится успешно(Cmd? gpupdate /force).


  • https://social.technet.microsoft.com/Forums/ru-RU/a1f550ae-b728-4af1-8f2e-2777c1a4ecd3/-?forum=windows7ru - как в данном ответе пробовали перенастроить?
  • Сделано

    Политика "Локальный компьютер" - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя:
    Доступ к компьютеру из сети: убираем пользователя "Все"


    Сделано
    Политика "Локальный компьютер" - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Параметры безопасности:
    Сетевой доступ: разрешать анонимный доступ к общим ресурсам - отключен

    Сделано
    Сетевой доступ: разрешать применение разрешений "Для всех" к анонимным пользователям - отключен

    Сделано

    в свойствах сетевого подключения снять галочки с пунктов:
    "Клиент для сетей Microsoft"
    "Служба доступа к файлам и принтерам сетей Microsoft"

    Сделано

    Драйвер NetBIOS остановлен

    Сделано

    отключить Сетевое обнаружение, Общий доступ к файлам и принтерам,

    Общий доступ к общим папкам.

    Сделано

    Проверить на вирусы Microsoft Security Essentials , последние определения вирусов

  • Сделано

         Отключение SMB (Флажок "совместное использование файлов и принтеров" снят)

    Не сделано

    http://winitpro.ru/index.php/2010/11/02/kak-otklyuchit-smb-2-0-v-windows-72008/

  • Не сделано(против PSExec)

     HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

    Add DWORD LocalAccountTokenFilterPolicy  равное 1

    Есть какие-нибудь работающие предложения?

     
  • Настроить безопасность RPC

    1.

    (Объект групповой политики)
    Конфигурация компьютера\Административные шаблоны\Система\Удаленный вызов процедур\Ограничения для RPC-клиентов, не прошедших проверку подлинности

    Прошедшие проверку без исключений

    2.

    (Объект групповой политики)
    Конфигурация компьютера\Административные шаблоны\Система\Удаленный вызов процедур\Проверка RPC-клиентов сопоставителя конечных точек  

    Включен.

    Kirill Vakhrushev ты в отпуск ушел, или отсутствуют идеи решения вопроса?

  • Неужели никто не может подсказать решение вопроса? Оно ведь должно существовать!
    12 июля 2015 г. 12:37
  • Может отсутствует некое важное обновление, которое закроет "АНОНИМНЫЙ ВХОД"? Если это истина,то каков его номер?
    13 июля 2015 г. 13:20
  • Есть кто-нибудь умный здесь?
    21 июля 2015 г. 16:34