Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Event 540 i 538 - windows XP PRO - anonymous logon

44 views
Skip to first unread message

Larsen

unread,
Aug 26, 2005, 8:02:03 AM8/26/05
to
Wita,

Może spotkał się ktoś z problemem występowania w Security log nstępujących
zdarzeń, poniżej. Sprawa nie dotyczy pojedynczej stacji, ale wielu w domenie
Win2003 native, zdarzenia pojawiają się cyklicznie co ok 20min. OS, na którym
zdarzenia pojawiaja się w Event logu to WinXP Professional.
(jeszcze nie analizowałem procesów stacji, z których następuje połączenie [
Nazwa stacji roboczej: DI-XXX])
Jakieś suestie odnośnie przyczyny nw. zdarzeń,
Na każdej stacji włączony jest firewall XP (zainstalowany SP2 + wszystkie
niezbędne poprawki [SUS], aktualny program antywirusowy, komputer nawiązujący
połączenie jest w LAN'IE, firewall zezwala na połączenia Netbios w LAN -
Zapora systemu Windows: zezwalaj na wyjątek udostępniania plików i drukarek )
Pozdr.
Larsen

Pomyślne logowanie do sieci:
Nazwa użytkownika:
Domena:
Identyfikator logowania: (0x0,0x136F40)
Typ logowania: 3
Proces logowania: NtLmSsp
Pakiet uwierzytelnień: NTLM
Nazwa stacji roboczej: DI-XXX
Identyfikator GUID logowania: {00000000-0000-0000-0000-000000000000}

Wylogowanie się użytkownika:
Nazwa użytkownika: LOGOWANIE ANONIMOWE
Domena: ZARZĄDZANIE NT
Identyfikator logowania: (0x0,0x136F40)
Typ logowania: 3

RafalJ

unread,
Aug 26, 2005, 8:43:05 AM8/26/05
to

Użytkownik "Larsen" <Lar...@discussions.microsoft.com> napisał w wiadomości
news:DDD70849-5E38-49D8...@microsoft.com...

Prawdopodobnie masz włączoną inspekcję zdarzeń logowania.
Każde zdarzenie logowania/wylogowania jest rejestrowane.

Pozdrawiam,
RJ (msinfo.pl)


Krzysztof Solek

unread,
Aug 26, 2005, 9:03:55 AM8/26/05
to

Poczytaj tez tu:

http://groups.google.com/group/microsoft.public.windowsxp.security_admin/browse_thread/thread/b6d013f78805aee0/b292e33c6833063a?lnk=st&q=Event+Id+540+und+538&rnum=6#b292e33c6833063a

--
======/// GREETZ ///=======
#EmEs@ __ Krzysztof Solek
mailto: em...@poczta.fm

Larsen

unread,
Aug 26, 2005, 9:33:03 AM8/26/05
to
Dzięki za odpowiedź, ale nie o to mi chodziło, tak jest, mam włączone audyty
i mechanizm ten spowodował pojawienie się opisywanych wpisów (stąd się o nich
dowiedziałem), ale mi chodzi o przyczynę: że akurat taki rodzaj wpisu się
pojawia (sesja anonimowa - (która jest dozwolona), brak usera, GUID =
{00000000-0000-0000-0000-000000000000}, service: NtLmSsp
Łączą się zawsze 2 komputery ze wszystkimi stacjami w LAN.
Może komuś udało się już spotkać z podobnym zajwiskiem takich połączeń tylko
z pojedynczych, tych samych stacji.
(virus, wadliwie działający serwis, inne dziadostwo lub może jest to normalne)

Przepraszam za brak precycji w poprzednim poscie,
z góry dziękuję za odp.
Larsen

„RafalJ” pisze:

Piotr Chmielewski

unread,
Aug 27, 2005, 3:52:13 AM8/27/05
to

Użytkownik "Larsen" <Lar...@discussions.microsoft.com> napisał w wiadomości
news:527E62CE-46B0-416E...@microsoft.com...

> Dzięki za odpowiedź, ale nie o to mi chodziło, tak jest, mam włączone
> audyty
> i mechanizm ten spowodował pojawienie się opisywanych wpisów (stąd się o
> nich
> dowiedziałem), ale mi chodzi o przyczynę: że akurat taki rodzaj wpisu się
> pojawia (sesja anonimowa - (która jest dozwolona), brak usera, GUID =
> {00000000-0000-0000-0000-000000000000}, service: NtLmSsp
> Łączą się zawsze 2 komputery ze wszystkimi stacjami w LAN.
> Może komuś udało się już spotkać z podobnym zajwiskiem takich połączeń
> tylko
> z pojedynczych, tych samych stacji.
> (virus, wadliwie działający serwis, inne dziadostwo lub może jest to
> normalne)
>
Wyglada na dzialanie jakiegos robala, sprawdzales programami
do ich usuwania, np. Ms Antispyware? Mozesz tez sprawdzic czy
dzieje sie cos takiego w trybie awaryjnym z obsluga sieci. Byc
moze okaze sie tez przydatna analiza nawiazanych polaczen:
netstat -b pokazuje procesy "zamieszane" w nawiazanie polaczenia.

Pzdr
Piotr (msinfo.pl)


0 new messages