【問題】關於稽核登入事件的幾個事件疑慮請教

自從 administrator account 的密碼三番兩次被改成空白之後,
我始開啟登入事件的稽核設定 (本機安全性設定 -> 本機原則 -> 稽核原則 -> 稽核登入事件)
以下兩區段是從 [事件檢視器 -> 安全性] 所擷取,有些不解與疑慮想請教各位,感激不禁!


:o 以下使用者([b]NT AUTHORITY\SYSTEM[/b])是什麼?
:o 為何會使用我的 user account(如下:JACK) 來登入,[b]還打錯密碼[/b]??
(我確信我每次登入都打對密碼)

[color=orange]使用者: NT AUTHORITY\SYSTEM
類型: 稽核失敗
事件ID: 529
電腦: ICS(我的電腦名稱)
描述:
登入失敗
原因: 使用者名稱不明或密碼錯誤
使用者名稱: JACK(我的帳號)
登入類型: 2 -> A user logged on to this computer at the console ...此一 Logon type 是何意義?
登入處理: Advapi
工作站名稱: ICS(我的電腦名稱)[/color]


[b]關於事件ID: 529 [/b]下列敘述感覺亂恐怖的!!(是我多慮了嗎?)
Explanation
This event record indicates an attempt to log on using an unknown user account or a valid user account but
with an incorrect password. An unexpected increase in the number of these audits could represent an attempt
by someone to find user accounts and passwords (such as a "dictionary" attack, in which a list of words is
used by a program to attempt entry).


User Action
The person with administrative rights for the computer should establish a threshold limit for attempted log ons.
Attempts in excess of the limit should be investigated as a possible attempt to break into the computer.

-------------------------------------------------------------------------------------------------------------------------------------------

:o 以下使用者([b]ANONYMOUS LOGON[/b])是什麼?
:o 為何會從區網中的另一台電腦登入我的電腦?

[color=orange]使用者: NT AUTHORITY\ANONYMOUS LOGON
類型: 稽核成功
事件ID: 540
電腦: ICS(我的電腦名稱)
描述:
網路登入成功
使用者名稱:
登入類型: 3
登入處理: NtLmSsp
工作站名稱: CHATPC([b]區網中的另一台電腦名稱[/b])[/color]

PS.
登入類型: 2 -> Interactive A user logged on to this computer at the console.
登入類型: 3 -> Network A user or computer logged on to this computer from the network.

1、有人試著用你的帳號登入
2、有人用匿名登入你的電腦

>> 登入類型: 2 -> A user logged on to this computer at the console ...此一 Logon type 是何意義?

訊息內容：一位使用者，從 console (CMD，命令列模式）登入你的電腦

估計這是從區網入侵的
不然就是你的電腦直接上 ADSL，沒有透過 IP 分享器之類的機器，直接曝露在 Internet 上

它是透過 SMB over TCP/IP 進入的
所以 XP 內建防火牆不會阻擋
2000 的話，則是沒有防火牆，除非額外安裝


>> 以下使用者(ANONYMOUS LOGON)是什麼?

ANONYMOUS 就是訪客，Guest 帳號

Guest 帳號預設是沒有密碼的，其權限非常低，不足以對系統造成破壞
但如果檔案系統是 FAT32，則可以造成破壞，竄改，NTFS 比較安全
假如是這樣，電腦內的檔案，很有可能已經被竄改，偷放木馬了



注意 XP 預設的使用者帳號，是非常危險的

[img]http://aycu11.webshots.com/image/41330/2005031908449118007_rs.jpg[/img]

1.Administrator 帳號，預設是沒有密碼的，把它停用

註：Adm 沒密碼時，登入畫面按 <Ctrl> + <Alt> + <Del> 輸入 administrator 不用密碼即可登入
可以實驗看看，大部分人的電腦，都是這樣子的，很好笑，暢行無阻

2.Guest 帳號，若不需要，把它停用 (停用後，不能無密碼分享資料夾）

3.有兩個 M$ 遠端協助的帳號，把它刪除 (圖上沒有，預設是有的)
那個保證用不到，留著有危險性

4.自己的帳號，設密碼，因為預設的安全性，是可以從網路登入的，若不想麻煩，改安全性原則，設密碼比較快


如果不想讓人從網路登入，到安全性原則，找有關網路登入的，把該項目的值全部刪除即可
不過網路芳鄰也會無法登入，也就是無法分享資料夾
但不影響連出去，仍可以連其它人的網路芳鄰和 NAS

Thanks a lot !!!

1、有人試著用你的帳號登入
2、有人用匿名登入你的電腦
不論1或2,是如何辦到的?(win update , firewall ,掃毒都作了...且 file system 是 NTFS)


若我區網中的電腦全接在ip分享器之後,以linux_xp兄的意思,就表示有人欲從區網入侵我的電腦囉??(...嗯,怪了我應該沒有得罪誰)


狀況1...有點不懂:
您說有人從 console (CMD，命令列模式）登入我的電腦,但他既然都能在我電腦中下指令了(既然都已進來),為何還要登入?
.....[補充說明] 因為這電腦我用之前administrator確實如您說的密碼為空白,還是有無可能有人先前已經放好一支程式,待我設了密碼保護後,該程式便運作來企圖破解密碼,所以才會一直作猜密碼的登入動作?([B]若如此我該怎麼處理[/B])


關於狀況2的匿名登入,
我的guest帳戶是關閉的,還是說 windows 那些使用 SMB protocol 的相關程式本就會有的動作...,無須緊張?(因為事件ID: 540的 user action 中建議是無需理會)

[QUOTE=b90220208;1001991]
狀況1...有點不懂:
您說有人從 console (CMD，命令列模式）登入我的電腦,但他既然都能在我電腦中下指令了(既然都已進來),為何還要登入?
.....[補充說明] 因為這電腦我用之前administrator確實如您說的密碼為空白,還是有無可能有人先前已經放好一支程式,待我設了密碼保護後,該程式便運作來企圖破解密碼,所以才會一直作猜密碼的登入動作?([B]若如此我該怎麼處理[/B])
[/quote]

windows 因為一開機就是 GUI 圖形介面
很容易讓人誤解它只能在 GUI 介面下操作（包括遠端圖形登入 VNC 之類）

但事實上，windows 是有終端機的，可以由遠端文字模式登入操作的

也就是不必在主機前面，打鍵盤、按滑鼠操作
是可以從網路遠端其它電腦，利用終端機登入，在文字模式下進行操作

雖然可用的指令，不像 unix 那麼多，但它的確可以 console (終端機) 登入


比方說 net 指令：

[code]
使用net use指令

NET USE
[devicename | *] [\\computername\sharename[\volume] [password | *]]
[/USER:[domainname\]username]
[/USER:[dotted domain name\]username]
[/USER:[username@dotted domain name]
[/SMARTCARD]
[/SAVECRED]
[[/DELETE] | [/PERSISTENT:{YES | NO}]]

NET USE {devicename | *} [password | *] /HOME

NET USE [/PERSISTENT:{YES | NO}]
[/code]

這部份我對 windows 的研究不是很透徹，所以具體操作方法不是很清楚

但是確定 windows 是可以由 console（終端機，文字模式）遠端登入操作的

至於登入者從哪個 IP 或 MAC 來的
那應該都有紀錄可以查的，可以問問對 win 平台比較瞭解的人

不過由紀錄來看，登入者有輸入正確帳號名稱，但並沒有輸入正確密碼
表示他知道你的帳號名稱，但是不知道你的密碼

這種登入大部分只能在區網下操作
因為 IP 分享器會擋 PORT，從外面 Intelnet 入侵的成功機會比較小

不一定是人為操作，也有可能是區網中其它電腦，中木馬或病毒
這些木馬、病毒，藉由遠端登入，進行感染


[quote]
關於狀況2的匿名登入,
我的guest帳戶是關閉的,還是說 windows 那些使用 SMB protocol 的相關程式本就會有的動作...,無須緊張?(因為事件ID: 540的 user action 中建議是無需理會)[/QUOTE]

若電腦有分享資料夾，無特別指定允許的登入帳號、密碼
預設會使用 Guest 帳號，讓別台電腦進行無密碼登入，是正常的沒錯

但是由第一篇的敘述來看，它是登入成功的
既然 Guest 帳號已經停用，那是不可能登入成功的
這說明了在那期間，有人將其打開，用完後又關閉

試想駭客如果要入侵，他會在入侵後，湮滅所有足跡（log檔）

但是為何單留一個登入紀錄，這是令人不解的地方
也許是忘了刪除，也許是故意展示成果，也許是權限不足
也許是正要刪除時，電腦剛好關機、網路斷線....都有可能

這部份需要對系統安全和駭客技術稍有瞭解的人，才能進行判斷


[b]如何防範？[/b]

1.把沒用到的帳號，全部停用、刪除

2.
增加密碼的複雜度
6個字元以上，參雜英文字母、數字，非字典可查到的單字
以防被：暴力破解、字典擋破解

華人在這部份有個優勢，就是可以把中文字轉換成輸入法當密碼

例如：cjo6zj45j3wu6

這一串密碼看似很複雜，不可能記得起來
但是如果用注音輸入法，KEY 一遍，你會發現
這一串密碼其實就是「回覆主題」的注音打法
所以就很容易記憶

可以想一些中文的密碼，用輸入法替換的方式 KEY IN
但是要避免用到特殊字元，例如：, / \ 這些
因為密碼中不能含有這些特殊字元

3.
[img]http://aycu02.webshots.com/image/39881/2004597012972533404_rs.jpg[/img]

假如你的電腦沒在分享資料夾，可以把「網路登入」關閉，拒絕 everyone （任何人）登入

這是最徹底的作法，沒有人可以從遠端登入你的電腦
其實大部分人用電腦，也不需要從遠端登入啦，關了省事

everyone 是一個 windows 定義過的群組，其意思是 all
建議設定時，先檢查群組名稱是否正確，才會生效

註：這不影響你的電腦連線別台電腦的分享資料夾


[IMG]http://aycu13.webshots.com/image/40892/2004556907947522056_rs.jpg[/IMG]

如果怕有人一直試密碼，可以試到成功，就設這個吧

次數可以指定，達到錯誤次數上限，該帳號自動鎖定

鎖定期間即使輸入正確密碼，一樣無法登入
不會回覆任何訊息，所以暴力破解的人，無法知道是否 try 成功

鎖定時間可以設定，單位分鐘
0 代表無限，永久鎖定，直到 admin 去解鎖

缺點是：如果有人亂打一通，害帳號被鎖定，你自己也無法登入...

可以從 BIOS 偷改系統時間，讓 windows 以為鎖定時間已過


[IMG]http://aycu16.webshots.com/image/40775/2004571543846151763_rs.jpg[/IMG]

這是用來防範鍵盤擷取程式、偽裝畫面、裝置

病毒可能在開機階段就已載入記憶體，等著攔截密碼的鍵盤信號
或者病毒偽裝成登入畫面，使用者不查，自己輸入密碼給人竊取 (釣魚)
或更扯的，直接在鍵盤插頭裝個電子裝置，直接紀錄所有輸入的東西

大部分的程式，在接收到 <ctrl> + <alt> + <del> 信號，會中斷

所以輸入密碼前，先按這個組合鍵，會有少許幫助

例如：
假設螢幕上出現的登入畫面，是病毒偽裝的
按下這個組合鍵，會強迫 windows 叫出工作管理員
如此可拆穿這個偽裝畫面

粉感謝您喔.

關於我開版文中的事件1(在我的電腦用我的帳號輸入不正確密碼導致登入失敗)就您的意思 - 有可能就是有人在遠端由 console（終端機，文字模式）試圖登入囉 ?

如果僅是網芳中的其他主機欲進入我所分享的資料夾而通過或者沒通過驗證視窗後是否也會出現 "使用者: NT AUTHORITY\SYSTEM" 網路登入成功或者失敗的事件警告資訊呢? (若如此至少我會安心些)


我由稽核登入的事件檢示器查倒是LAN中某電腦不斷猜密碼欲登入,隨後馬上要他更新病毒定義並掃毒結果亦無任何發現,若用鎖定帳號的方式,那麼當帳號的鎖定時間已過後,該帳號的一些私密資料(EFS-加密檔案,個人憑證,儲存的網站密碼或網路資源)會不會就讀取不到或遺失了?

[QUOTE=b90220208;1002087]粉感謝您喔.

關於我開版文中的事件1(在我的電腦用我的帳號輸入不正確密碼導致登入失敗)就您的意思 - 有可能就是有人在遠端由 console（終端機，文字模式）試圖登入囉 ?
[/quote]

[quote]
使用者: NT AUTHORITY\SYSTEM
類型: 稽核失敗
事件ID: 529
電腦: ICS(我的電腦名稱)
描述:
登入失敗
原因: 使用者名稱不明或密碼錯誤
使用者名稱: JACK(我的帳號)
登入類型: 2 -> A user logged on to this computer at the console ...此一 Logon type 是何意義?
[/quote]

按照字面的解釋，at the console，是由終端機登入的沒錯

每個事件應該都有日期時間
其實可以推斷一下，那個日期時間有無操作這台電腦

一般早上上班，只會開機一次，登入一次
如果時間是上班中途，人明明就在電腦前面，打著報告，上著網
紀錄卻有人登入，那不就很奇怪了，八成是網路登入的

又如果電腦是 24小時開機的
ICS 由字面判斷，應該是屬於 ICS 伺服器之類的吧
也可回想一下，那個時間點有無去做了登入的動作

有時候 MIS 基於一些備份機制
也會寫程式讓伺服器主機去備份區網中電腦的硬碟資料
假設有 MIS，這部份也可以問清楚

[quote]
如果僅是網芳中的其他主機欲進入我所分享的資料夾而通過或者沒通過驗證視窗後是否也會出現 "使用者: NT AUTHORITY\SYSTEM" 網路登入成功或者失敗的事件警告資訊呢? (若如此至少我會安心些)
[/quote]

這個不太確定，建議實驗一下即可確定

印象中是會有紀錄


[quote]
我由稽核登入的事件檢示器查倒是LAN中某電腦不斷猜密碼欲登入,隨後馬上要他更新病毒定義並掃毒結果亦無任何發現,若用鎖定帳號的方式,那麼當帳號的鎖定時間已過後,該帳號的一些私密資料(EFS-加密檔案,個人憑證,儲存的網站密碼或網路資源)會不會就讀取不到或遺失了?[/QUOTE]

有些木馬程式，防毒軟體是掃不出來的
另防毒軟體，也有掃毒率好壞之分

鎖定帳號，並不會破壞加密資料，或帳號內存的私人資料
鎖定時間過後，僅是恢復到可以接受密碼的狀態

另 admin 權限，也可隨時解除鎖定，具體就是把帳號回覆到啟用狀態
不過解除鎖定，和重設密碼是兩回事

解除鎖定後，仍是用原先密碼登入

重設密碼，windows 會出現操作警告視窗
說明由 admin 權限，強制的重設別人帳號之密碼
有可能會損失加密、私人資料

這是基於隱私權考量而設計的
admin 可以維護電腦、刪除任何檔案、重設任何密碼
但是無法偷看別人加密過的資料
亦即無法對其解密，要解密需有原先的密碼

但這個限制只存在於本機 windows 開機
有些第三方的開機片已經做到破解，光碟開機，硬碟裡的密碼看光光...
所以說到底管理人員，仍是有很大的權限
只要被授權去現場操作主機，有心的話，什麼都是能破解的
把機密文件放在固定式電腦裡，並非明智之舉，隨身碟帶著走比較好

關於事件ID:529
登入類型:2 -- 微軟官方解釋為[B][COLOR="Red"]互動式[/COLOR][/B]登入

請問其指的是有人實際在電腦主機所為
還是
從網路登錄也算
或者
為其他意思...有人明確知道嗎?:eye:

ps.
上述事件之使用者為 nt authority/system ,其欲以我的帳號登入,但失敗.


我觀察了一陣子發現有很多登入事件其實不過是微軟網芳的BROADCAST行為所致,此即無需大驚小怪
例如開機後約每隔12分鐘就會有一次的540登入事件,不曉得是在做什麼,想不通為何廣播封包與登入有關?:eye: