Index · Правила · Поиск· Группы · Регистрация · Личные сообщения· Вход

Список разделов Компьютерный раздел
 
 
 

Раздел: Компьютерный раздел Вопрос сисадминам по серверу Win2003 

Создана: 12 Апреля 2012 Чтв 20:30:36.
Раздел: "Компьютерный раздел"
Сообщений в теме: 13, просмотров: 2136

  1. 12 Апреля 2012 Чтв 20:30:36
    Вижу в журнале ( аудит успехов ) многочисленные такие "парные" записи вида:

    Тип события: Аудит успехов
    Источник события: Security
    Категория события: Вход/выход
    Код события: 540
    Дата: 12.04.2012
    Время: 3:16:03
    Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
    Компьютер: VULCAN
    Описание:
    Успешный сетевой вход в систему:
    Пользователь:
    Домен:
    Код входа: (0x0,0x2DCEBB)
    Тип входа: 3
    Процесс входа: NtLmSsp
    Пакет проверки: NTLM
    Рабочая станция: K163
    Код GUID: -
    Имя вызывающего пользователя: -
    Домен вызывающего: -
    Код входа вызывающего: -
    Код процесса вызывающего: -
    Промежуточные службы:-
    Адрес сети источника: Х.Х.Х.Х
    Порт источника: 0

    И тут же:

    Тип события: Аудит успехов
    Источник события: Security
    Категория события: Вход/выход
    Код события: 538
    Дата: 12.04.2012
    Время: 3:16:03
    Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
    Компьютер: VULCAN
    Описание:
    Выход пользователя из системы:
    Пользователь: АНОНИМНЫЙ ВХОД
    Домен: NT AUTHORITY
    Код входа: (0x0,0x2DCEBB)
    Тип входа: 3

    Что это может быть за подключения, системные какие-то или левые ? Почему анонимные?
  2. error


    Хранитель


    Более 10 лет на форумеМуж.
    13 Апреля 2012 Птн 1:09:18
    1. Включен ли анонимный вход?
    2. ip-адрес в логе записан?
  3. 13 Апреля 2012 Птн 3:08:49
    похожий случай
    [внешняя ссылка]
  4. 13 Апреля 2012 Птн 10:07:10
    error писал : 1. Включен ли анонимный вход?
    2. ip-адрес в логе записан?


    2. IP адрес внутреннего компа сети
    1. Что имеете ввиду ? Где точнее посмотреть ?
  5. 13 Апреля 2012 Птн 13:01:03
    Поди общий доступ cifs гостям есть
  6. 13 Апреля 2012 Птн 13:51:17
    доступ к расшареным папкам
    Event 540 gets logged when a user elsewhere on the network connects to a resource (e.g. shared folder) provided by the Server service on this computer. The Logon Type will always be 3 or 8, both of which indicate a network logon.

    любое подключение к серверу по сети идет с таким событием в их записях
    (не отсебятина)
  7. 13 Апреля 2012 Птн 15:59:31
    Уточняю - гости отключены, подключения идут даже когда за компом-клиентом никто не работает ( но он естественно включен), подключения с периодом от минуты до нескольких....
    Интересует по сути следующее - какие службы\процессы на клиенте инициируют именно анонимное подключение ? какого... так часто ?
  8. 13 Апреля 2012 Птн 16:02:36
    StartNik писал(а) : какие службы\процессы на клиенте инициируют именно анонимное подключение ?


    яндекс полистайте по данному процессу (Процесс входа: NtLmSsp)Хех!
  9. 13 Апреля 2012 Птн 16:04:33
    Уточняю - гости отключены, подключения идут даже когда за компом-клиентом никто не работает ( но он естественно включен), подключения с периодом от минуты до нескольких....
    Интересует по сути следующее - какие службы\процессы на клиенте инициируют именно анонимное подключение ? какого... так часто ?
  10. 13 Апреля 2012 Птн 17:42:57
    Так невозможно угадать что именно инициирует подключение.
    Не проще ли отследить на компе источнике, если он известен?
    Снифер туда воткнуть и подождать немного.
    Или методом тыка отключать все сетевое поочередно.
    Может так ссылка какая на общий ресурс, вот он периодически и пытается ее обновить. А может и гадость какая сидит.
  11. 13 Апреля 2012 Птн 19:40:46
    Экспериментировать в рабочей среде нет ни времени ни возможности....на клиентах КАV установлен, проблем нет, набор ПО простой офисный....
    Всякие общие шары по моему разумению нет необходимости дергать под анонимом, да еще так часто.....
  12. 13 Апреля 2012 Птн 19:41:56
    QWS808 писал :
    StartNik писал(а) ... ... : какие службы\процессы на клиенте инициируют именно анонимное подключение ?


    яндекс полистайте по данному процессу (Процесс входа: NtLmSsp)Хех!

    Вы что нибудь можете конкретно сказать по этому процессу?....общих фраз в сети полно...
  13. 13 Апреля 2012 Птн 21:16:32
    Так вам никто не сможет точно сказать. Может у вас KAV и пытается проверить сетевые ресурсы. Кто же знает что у вас там творится. Телепатов на форуме не было.