Início > Uncategorized > Impedir acesso remoto anônimo (Anonymous logon)

Impedir acesso remoto anônimo (Anonymous logon)

Se o seu visualizador de eventos (Iniciar, Configurações, Painel de Controle, Ferramentas Administrativas, Visualizador de Eventos) acusa o evento 538 para ANONYMOUS LOGON, nos logs de Segurança, signfica simplesmente que alguém acessou seu computador anonimamente. O evento só poderá aparecer na lista dos logs de segurança se tiver sido marcado para auditar os eventos de logon/logoff. Caso contrário não aparecerá nada (e não é porque não apareceu nada que seu micro está protegido). Veja no final desta postagem como habilitar o monitoramento dos eventos de logon/logoff.
É óbvio que o acesso remoto anônimo não deverá ter permissões para explorar amplamente seu computador, mas por descuido, o login anônimo é a porta de entrada para uma pessoa mal intencionada, que poderá copiar seus arquivos SAM e os hashes de senhas, além de uma cópia do seu registro do Windows, através da opção de exportação do registro pela ferramenta REGEDIT por linha de comandos.
Percebe o perigo?
 
EXEMPLO DAS PROPRIEDADES DO EVENTO 538
Date: xx/xx/xxxx  Source: Security
Time: xx:xx  Category: Logon/Logoff
Type: Success  EventID: 538
User: NT AUTHORITYANONYMOUS LOGON
Computer: Computador
Description:
User Name: ANONYMOUS LOGON
Domain: NT AUTHORITY
Logon ID: (0x0,0xA10A09)
Logon Type: 3
 
A partir daí, eventos como o 562 podem aparecer… Alguém se apropriou da conta Admin e acessou o objeto Security Account Manager (SAM). Mas o SAM é criptografado! Tudo bem, mas alguém poderá com muita insistência conseguir acesso às contas locais do computador.
Event Type: Success Audit
Event Source: Security
Event Category: Object Access
Event ID: 562
Date:  xx/xx/xxxx
Time:  xx:xx:xx
User:  LOCALAdmin
Computer: LOCAL
Description:
Handle Closed: Object Server: Security Account Manager
 Handle ID: 782496
 Process ID: 264
 
Por exemplo, o código 3221225572 associado ao evento 681 é uma tentativa de acesso usando um nome de usuário que não existe. A pessoa que tenta invadir começa usando logins comuns, como ADMIN, ADMINISTRATOR, ADMINISTRADOR, CPD, GERENTE, DIRETOR, etc. E a cada tentativa inválida ele parte para novos nomes, como CARLOS (quase toda empresa tem um usuário CARLOS), MARIA, etc. Procura-se explorar o serviço IIS, e com o protocolo Kerberos.
 
Code(Decimal) Code(Hex)   Comentários sobre o erro
3221225572    0xC0000064  O usuário especificado não existe. 
3221225570    0xC0000062  O nome fornecido não é um nome de conta válido
3221225569    0xC0000061  Um privilégio solicitado não é mantido pelo cliente.
3221225578    0xC000006A  Ao se tentar atualizar uma senha, o status retornado indica que o valor fornecido como senha atual não é válido (senha curta demais, senha igual as anteriores, etc)
3221225580    0xC000006C  Senha não está correta. Ao tentar a atualização de uma senha, este status indica que alguns dos requerimentos da regra de atualização de senha foi violado. Por exemplo, a senha não pode atender critérios de comprimento mínimo, mas mesmo assim, foi inserida.
3221225585    0xC0000071  Senha da conta de usuário expirou.
3221225586    0xC0000072  Relacionado à conta que está desativada no momento.
 
Continuará…
Categorias:Uncategorized
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: