windows2003 用户管理（WindowsServer2003系统用户名ANONYMOUS）

最近有很多人问我：审核成功 2010-3-29 14:45:47 Security 登录/注销 540 ANONYMOUS LOGON ，今天小编就来聊一聊关于windows2003 用户管理?接下来我们就一起去研究一下吧!

windows2003 用户管理

最近有很多人问我：

审核成功 2010-3-29 14:45:47 Security 登录/注销 540 ANONYMOUS LOGON

审核成功 2010-3-29 12:54:48 Security 登录/注销 540 ANONYMOUS LOGON

审核成功 2010-3-29 9:10:00 Security 登录/注销 540 ANONYMOUS LOGON

审核成功 2010-3-28 22:54:12 Security 登录/注销 540 ANONYMOUS LOGON

审核成功 2010-3-28 20:22:26 Security 登录/注销 540 ANONYMOUS LOGON

用户组里没有ANONYMOUS LOGON 这个用户，杀毒也没杀出木马程序，求助为什么会出现此现象，是黑客用户吗？

首先说明一下，这个NT AUTHORITY\ANONYMOUS LOGON的登录是很正常的。通过“开始”－“控制面板”－“管理工具”－“事件查看器”－“安全”，我们可以发现，在进入系统时，有多个会话，这些会话包括NT AUTHORITY\SYSTEM、NT AUTHORITY\NETWORK SERVICE、NT AUTHORITY\LOCAL SERVICE、NT AUTHORITY\ANONYMOUS LOGON，还有一个就是“计算机名\用户名”。这些会话分别承担不同的应用，如NT AUTHORITY\SYSTEM代表系统进程，用来启动诸如smss、winlogon等进程。说到这里，你可能就清楚了，这个NT AUTHORITY\ANONYMOUS LOGON也是承担特定的应用。对头，它就是用于匿名登录获取信息的，特别是以前NT4不支持计算机实体登录的时候，只能通过这种匿名连接的变通方式获取其他机器信息 也就是说，他不能对计算机作修改咯

ANONYMOUS LOGON用户权限最低的，只能浏览。ftp或http下载软件的时候，如果不登陆，就是这种状态。

除非你关闭了 137-139.445端口，彻底禁用所有网上邻居、windows共享

否则会有这个的，而且很正常。只要有人打开网上邻居，而且里面有你的电脑、就多半会有这个纪录。

方法1 ：如果你坚持使用网络共享 , 那么走注册表

hkey_local_machine\system\currentControlSet\Services\lanmanserver\Parameters

Lmannounce : dword= 0

requiresecuritysignature :dword=1

restrictnullsessaccess :dword = 1

NullSessionPipes = (空)

NullSessionShares =(空)

方法2： 如果你觉得你不用别人的网络共享，别人也不能登陆你的

HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters

SMBDeviceEnabled : REG_DWORD = 0

hkey_local_machine\system\currentControlSet\Services\lanmanserver\parameters

Lmannounce : dword= 0

然后禁用server服务

"HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters

SMBDeviceEnabled : REG_DWORD = 0"中“Controlset”是“Controlset001”还是“Controlset002”

,