anonymous logon что это
Неизвестный вход на сервер, неизвестно кем
Прошу помощи в разъяснении вопроса:
Windows server 2012 r2
Ежедневно в логах сервера нахожу аудит входа и выхода в систему непонятного мне происхождения, который в 100% случаев (на данный момент времени) имеет длительность не более 1 секунды. Используемая УЗ при этом «Анонимный вход» и процесс входа всегда NtLmSsp.
Иногда отображается рабочая станция, как в случае ниже.(в 90% случаев каждый раз разная)
Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x221F8BBC
GUID входа:
Сведения о сети:
Имя рабочей станции: MICSFBSBA02
Сетевой адрес источника: 121.100.17.194
Порт источника: 34197
А иногда ничего.
Вход с учетной записью выполнен успешно.
Уровень олицетворения: Олицетворение
Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи:
Код входа: 0x21FF2F6C
GUID входа:
Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: 148.153.38.78
Порт источника: 54306
При этом меня беспокоят исходные IP адреса. 99% случаев это страны, отличные от России. А при их трассировке становится понятно, что это, скорее всего прокси-VPNы.
Что я делал:
1) Изменил стандартный порт 3389
2) Привязал к новому порту разрешения использования «только указанный IP» т.е. мой
3) брандмауэру тоже задал параметны на использования удалённого стола только с моего IP
4) Отключил все УЗ (кроме нужных)
5) Проверил права в групповой политике. никаких дополнительных настроект нет для других или незнакомых мне уз.
6) В группе Администраторов добавил только «себя»
7) В группу удалённых рабочих столов разрешил только «себя»
8) Сменил все пароли УЗ.
Но записи аудита как были-так и продолжают ежедневно быть.
Специальные группы
Применяется к
В этом справочном разделе для ИТ-специалистов описываются специальные группы удостоверений (которые иногда называют группами безопасности), используемые в Windows управления доступом.
Специальные группы удостоверений похожи на группы безопасности Active Directory, перечисленные в пользователях и встроенных контейнерах. Специальные группы удостоверений могут эффективно назначать доступ к ресурсам в сети. С помощью специальных групп удостоверений можно:
Назначьте права пользователей группам безопасности в Active Directory.
Назначение разрешений группам безопасности для доступа к ресурсам.
Серверы, на которые запущены поддерживаемые операционные системы Windows Server, указанные в списке Applies To в начале этой темы, включают несколько специальных групп удостоверений. Эти специальные группы удостоверений не имеют определенных членства, которые можно изменить, но они могут представлять различных пользователей в разное время, в зависимости от обстоятельств.
Несмотря на то, что специальные группы удостоверений могут быть назначены права и разрешения на ресурсы, членство не может быть изменено или просмотрено. Групповые области не применяются к специальным группам удостоверений. Пользователям автоматически назначены эти специальные группы удостоверений при входе или доступе к определенному ресурсу.
Сведения о группах безопасности и области групповой области см. в группе безопасности Active Directory.
Специальные группы удостоверений описаны в следующих таблицах:
Анонимный логотип
Любой пользователь, который получает доступ к системе с помощью анонимного логотипа, имеет идентификатор Anonymous Logon. Это удостоверение позволяет анонимный доступ к ресурсам, например к веб-странице, которая публикуется на корпоративных серверах. Группа Anonymous Logon по умолчанию не является членом группы Everyone.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-7 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Нет |
Проверка подлинности пользователей
Любой пользователь, который получает доступ к системе с помощью процесса регистрации, имеет удостоверение пользователя с проверкой подлинности. Это удостоверение позволяет получать доступ к общим ресурсам в домене, например к файлам в общей папке, которые должны быть доступны всем сотрудникам организации. Членство контролируется операционной системой.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-11 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Доступ к этому компьютеру из сети:SeNetworkLogonRight Добавление рабочих станций в домен:SeMachineAccountPrivilege Проверка обхода обхода:SeChangeNotifyPrivilege |
Batch
Любой пользователь или процесс, который получает доступ к системе как пакетное задание (или через пакетную очередь), имеет идентификатор Batch. Это удостоверение позволяет пакетным заданиям выполнять запланированные задачи, например задание по очистке, которое удаляет временные файлы. Членство контролируется операционной системой.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-3 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | нет |
Creator Group
Человек, создавший файл или каталог, является членом этой специальной группы удостоверений. Windows Операционные системы сервера используют это удостоверение, чтобы автоматически предоставлять разрешения на доступ создателю файла или каталога.
Идентификатор безопасности placeholder (SID) создается в записи управления доступом наследуемого доступа (ACE). Когда ACE наследуется, система заменяет этот SID на SID для основной группы текущего владельца объекта. Основная группа используется только интерфейсом портативной операционной системы для UNIX (POSIX).
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-3-1 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | нет |
Владелец создателя
Человек, создавший файл или каталог, является членом этой специальной группы удостоверений. Windows Операционные системы сервера используют это удостоверение, чтобы автоматически предоставлять разрешения на доступ создателю файла или каталога. В наследуемом ACE создается SID-держатель. Когда ACE наследуется, система заменяет этот SID на SID для текущего владельца объекта.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-3-0 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | нет |
Dialup
Любой пользователь, который получает доступ к системе через подключение к сети, имеет идентификатор Dial-Up. Это удостоверение отличает пользователей-дозвонившихся от других типов пользователей с проверкой подлинности.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-1 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | нет |
Дайджест проверки подлинности
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-64-21 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | нет |
Enterprise Контроллеры домена
Эта группа включает в себя все контроллеры домена в лесу Active Directory. Контроллеры домена с корпоративными ролями и обязанностями имеют удостоверение Enterprise контроллеров домена. Это удостоверение позволяет им выполнять определенные задачи на предприятии с помощью транзитных трастов. Членство контролируется операционной системой.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-9 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Доступ к этому компьютеру из сети:SeNetworkLogonRight Разрешить вход локально:SeInteractiveLogonRight |
Все пользователи
Все интерактивные, сетевые, диалоговое и аутентификация пользователи являются членами группы Everyone. Эта специальная группа удостоверений предоставляет широкий доступ к системным ресурсам. Всякий раз, когда пользователь входит в сеть, он автоматически добавляется в группу Everyone.
На компьютерах, запущенных Windows 2000 года и ранее, группа Everyone включала группу Anonymous Logon в качестве участника по умолчанию, но по Windows Server 2003 группа Everyone содержит только аутентификацию пользователей и гостей; и он больше не включает анонимный логотип по умолчанию (хотя его можно изменить с помощью редактора реестра, переехав в ключ Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa и установив значение каждого DWORD до 1).
Членство контролируется операционной системой.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-1-0 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Доступ к этому компьютеру из сети:SeNetworkLogonRight Действуй как часть операционной системы:SeTcbPrivilege Проверка обхода обхода:SeChangeNotifyPrivilege |
Interactive (Интерактивные)
Любой пользователь, во время входа в локализованную систему, имеет идентификатор Interactive. Это удостоверение позволяет только местным пользователям получать доступ к ресурсу. Всякий раз, когда пользователь получает доступ к определенному ресурсу на компьютере, на котором он в настоящее время зарегистрирован, пользователь автоматически добавляется в интерактивную группу. Членство контролируется операционной системой.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-4 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Нет |
Локализованная служба
Учетная запись локальной службы похожа на учетную запись пользователя с проверкой подлинности. Учетная запись локальной службы имеет тот же уровень доступа к ресурсам и объектам, что и члены группы Пользователей. Этот ограниченный доступ помогает защитить систему, если отдельные службы или процессы скомпрометированы. Службы, которые работают в качестве сетевых ресурсов учетной записи локальной службы, в качестве сеанса null с анонимными учетными данными. Имя учетной записи — NT AUTHORITY\LocalService. У этой учетной записи нет пароля.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-19 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Настройка квот памяти для процесса:SeIncreaseQuotaPrivilege Проверка обхода обхода:SeChangeNotifyPrivilege Изменение системного времени:SeSystemtimePrivilege Изменение часовой пояс: SeTimeZonePrivilege Создание глобальных объектов:SeCreateGlobalPrivilege Создание аудитов безопасности:SeAuditPrivilege Выдают себя за клиента после проверки подлинности:SeImpersonatePrivilege Замена маркера уровня процесса:SeAssignPrimaryTokenPrivilege |
LocalSystem
Это учетная запись службы, используемая операционной системой. Учетная запись LocalSystem — это мощная учетная запись, которая имеет полный доступ к системе и выступает в качестве компьютера в сети. Если служба входит в учетную запись LocalSystem на контроллере домена, эта служба имеет доступ ко всему домену. Некоторые службы по умолчанию настроены для входа в учетную запись LocalSystem. Не измените параметр службы по умолчанию. Имя учетной записи — LocalSystem. У этой учетной записи нет пароля.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-18 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Нет |
Network
Эта группа неявно включает всех пользователей, которые вошли в систему через сетевое подключение. Любой пользователь, который получает доступ к системе через сеть, имеет сетевое удостоверение. Это удостоверение позволяет доступ к ресурсу только удаленным пользователям. Всякий раз, когда пользователь получает доступ к определенному ресурсу по сети, он автоматически добавляется в группу Network. Членство контролируется операционной системой.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-2 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Нет |
Служба сети
Учетная запись сетевой службы похожа на учетную запись пользователя с проверкой подлинности. Учетная запись Сетевой службы имеет тот же уровень доступа к ресурсам и объектам, что и члены группы пользователей. Этот ограниченный доступ помогает защитить систему, если отдельные службы или процессы скомпрометированы. Службы, которые работают в качестве сетевых ресурсов учетной записи сетевой службы, используют учетные данные учетной записи компьютера. Имя учетной записи — NT AUTHORITY\NetworkService. У этой учетной записи нет пароля.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-20 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Настройка квот памяти для процесса:SeIncreaseQuotaPrivilege Проверка обхода обхода:SeChangeNotifyPrivilege Создание глобальных объектов:SeCreateGlobalPrivilege Создание аудитов безопасности:SeAuditPrivilege Выдают себя за клиента после проверки подлинности:SeImpersonatePrivilege Замена маркера уровня процесса:SeAssignPrimaryTokenPrivilege |
Проверка подлинности NTLM
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-64-10 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Нет |
Другая организация
Эта группа неявно включает всех пользователей, которые вошли в систему через подключение к диалоговому окантову. Членство контролируется операционной системой.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-1000 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Нет |
Principal Self
Это удостоверение является местообладателями в ACE для пользователя, группы или объекта компьютера в Active Directory. Когда вы предоставляете разрешения principal Self, вы предоставляете их директору безопасности, который представлен объектом. Во время проверки доступа операционная система заменяет SID для principal Self на SID для директора безопасности, представленного объектом.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-10 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Нет |
Удаленный интерактивный логотип
Это удостоверение представляет всех пользователей, которые в настоящее время вошли на компьютер с помощью удаленного подключения к рабочему столу. Эта группа — подмножество интерактивной группы. Маркеры доступа, содержащие удаленный интерактивный sid logon, также содержат интерактивный SID.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-14 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Нет |
Restricted (Ограничено)
Пользователи и компьютеры с ограниченными возможностями имеют удостоверение с ограниченным доступом. Эта группа удостоверений используется процессом, запущенным в контексте ограниченной безопасности, например запуском приложения со службой RunAs. При запуске кода на уровне ограниченной безопасности к маркеру доступа пользователя добавляется ограниченный SID.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-12 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Нет |
Проверка подлинности SChannel
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-64-14 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Нет |
Обслуживание
Любая служба, которая имеет доступ к системе, имеет удостоверение службы. Эта группа удостоверений включает в себя все принципы безопасности, которые входят в качестве службы. Это удостоверение предоставляет доступ к процессам, которые управляются Windows серверов. Членство контролируется операционной системой.
| Атрибут | Значение |
|---|---|
| Well-Known SID/RID | S-1-5-6 |
| Объектный класс | Директор по внешней безопасности |
| Расположение по умолчанию в Active Directory | cn=WellKnown Security Principals, cn=Configuration, dc= |
| Права пользователя по умолчанию | Создание глобальных объектов:SeCreateGlobalPrivilege Выдают себя за клиента после проверки подлинности:SeImpersonatePrivilege |
Пользователь терминала Server
Любой пользователь, который получает доступ к системе через службы терминалов, имеет удостоверение пользователя терминала Server. Это удостоверение позволяет пользователям получать доступ к приложениям Terminal Server и выполнять другие необходимые задачи с помощью служб терминала Server. Членство контролируется операционной системой.