Компьютерный раздел
Вопрос сисадминам по серверу Win2003
Создана: 12 Апреля 2012 Чтв 20:30:36.
Раздел: "Компьютерный раздел"
Сообщений в теме: 13, просмотров: 2130
-
12 Апреля 2012 Чтв 20:30:36Вижу в журнале ( аудит успехов ) многочисленные такие "парные" записи вида:
Тип события: Аудит успехов
Источник события: Security
Категория события: Вход/выход
Код события: 540
Дата: 12.04.2012
Время: 3:16:03
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: VULCAN
Описание:
Успешный сетевой вход в систему:
Пользователь:
Домен:
Код входа: (0x0,0x2DCEBB)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: K163
Код GUID: -
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы:-
Адрес сети источника: Х.Х.Х.Х
Порт источника: 0
И тут же:
Тип события: Аудит успехов
Источник события: Security
Категория события: Вход/выход
Код события: 538
Дата: 12.04.2012
Время: 3:16:03
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: VULCAN
Описание:
Выход пользователя из системы:
Пользователь: АНОНИМНЫЙ ВХОД
Домен: NT AUTHORITY
Код входа: (0x0,0x2DCEBB)
Тип входа: 3
Что это может быть за подключения, системные какие-то или левые ? Почему анонимные? -
-
13 Апреля 2012 Птн 13:51:17доступ к расшареным папкам
Event 540 gets logged when a user elsewhere on the network connects to a resource (e.g. shared folder) provided by the Server service on this computer. The Logon Type will always be 3 or 8, both of which indicate a network logon.
любое подключение к серверу по сети идет с таким событием в их записях
(не отсебятина) -
13 Апреля 2012 Птн 15:59:31Уточняю - гости отключены, подключения идут даже когда за компом-клиентом никто не работает ( но он естественно включен), подключения с периодом от минуты до нескольких....
Интересует по сути следующее - какие службы\процессы на клиенте инициируют именно анонимное подключение ? какого... так часто ? -
13 Апреля 2012 Птн 16:04:33Уточняю - гости отключены, подключения идут даже когда за компом-клиентом никто не работает ( но он естественно включен), подключения с периодом от минуты до нескольких....
Интересует по сути следующее - какие службы\процессы на клиенте инициируют именно анонимное подключение ? какого... так часто ? -
13 Апреля 2012 Птн 17:42:57Так невозможно угадать что именно инициирует подключение.
Не проще ли отследить на компе источнике, если он известен?
Снифер туда воткнуть и подождать немного.
Или методом тыка отключать все сетевое поочередно.
Может так ссылка какая на общий ресурс, вот он периодически и пытается ее обновить. А может и гадость какая сидит. -
13 Апреля 2012 Птн 19:40:46Экспериментировать в рабочей среде нет ни времени ни возможности....на клиентах КАV установлен, проблем нет, набор ПО простой офисный....
Всякие общие шары по моему разумению нет необходимости дергать под анонимом, да еще так часто..... -
13 Апреля 2012 Птн 19:41:56
-
13 Апреля 2012 Птн 21:16:32Так вам никто не сможет точно сказать. Может у вас KAV и пытается проверить сетевые ресурсы. Кто же знает что у вас там творится. Телепатов на форуме не было.
