none
匿名登录事件 RRS feed

  • 问题

  • 局域网中很多WindowsXP机器的安全日志中发现有很多的匿名登录事件,大约5、6分钟就有一次,内容如下:

     

    来源:Security

    类别:登录/注销

    类型:成功审核

    事件ID:540

    用户:NT AUTHORITY\ANONYMOUS LOGON

    计算机:F2ITPC010

     

    成功的网络登录:
      用户名: 
      域:  
      登录 ID:  (0x0,0x9E83A8)
      登录类型: 3
      登录过程: NtLmSsp
      身份验证程序包: NTLM
      工作站名: F2E3PC046
      登录 GUID: -

     

    这是正常的吗?需要采取什么措施吗?

     

    2008年12月26日 3:16

答案

  • 再正常不过了,只要你开启了局域网,开启了文件和打印机共享,就会有这种日志。因为只要局域网中的计算机打开“网上邻居”,看到了列表中出现你的计算机,你的计算机就会出现这个日志。
    2008年12月30日 6:56
    版主

全部回复

  •  

    你在 F2ITPC010 这台计算机开启了允许 Guest 帐户从网络访问?

    2008年12月26日 3:52
  •  

    楼上:

    我检查过,Guest账户都是禁用的。

     

    2008年12月26日 4:12
  •  

    需要在组策略中的安全设置/本地策略/安全选项下的帐户:来宾帐户状态查看。

    2008年12月26日 4:20
  • SQL的。

    你安装了SQL,并且有机器使用你机器上的SQL SERVER对吧。这样的话是正常的。

    2008年12月26日 4:45
    版主
  •  寱麕齺簼 写:

     

    需要在组策略中的安全设置/本地策略/安全选项下的帐户:来宾帐户状态查看。或是否使用的是简单文件共享?

     

    组策略中的来宾帐户状态是“已停用”,也没有使用简单文件共享。

     

    2008年12月26日 5:04
  •  笨笨ONE 写:

    SQL的。

    你安装了SQL,并且有机器使用你机器上的SQL SERVER对吧。这样的话是正常的。

     

    没有使用SQL Server

     

    2008年12月26日 5:05
  •  

    如果登录事件都来自 F2E3PC046 ,检查一下 F2E3PC046 这台计算机运行的程序。

    2008年12月26日 5:24
  • 理论上来讲NT AUTHORITY\ANONYMOUS LOGON是正常的,但容易被利用,你可以将原来的默认Administrator帐号重命名(这个帐号不能删除),然后再设置一个复杂的密码,然后再重新建立一个属于admin组的管理员帐号做备用,以后用你新建立的这个管理员帐号登陆,应该就不会出现ANONYMOUS LOGON的情况了。

    你也可以看看人家的回复http://forums.microsoft.com/technet-cht/showpost.aspx?postid=2217534&siteid=23
    2008年12月26日 7:35
    版主
  • 再正常不过了,只要你开启了局域网,开启了文件和打印机共享,就会有这种日志。因为只要局域网中的计算机打开“网上邻居”,看到了列表中出现你的计算机,你的计算机就会出现这个日志。
    2008年12月30日 6:56
    版主