ILS_ANONYMOUS_USER帐户是什么？

Question

在Microsoft域上，在公共IP服务器上，我发现了一个使用帐户ILS_ANONYMOUS_USER的登录名。

这是Microsoft创建的域宽帐户，而不是特定于一台服务器。

是这样的吗？

注意：

这是一个可能影响每个Microsoft域的安全问题。

高风险的赎金，病毒和类似的

Answer 1

我们有一个防火墙保护的RDP服务器，但是，使用一个未知的(对我来说)方法，有人能够使用远程桌面，交互登录在服务器上。

我注意到了入侵的偶然:只有一个用户允许每次访问，并试图进入，发现另一个人在里面。

我们有MalwareBytes (推荐)，它停止了一个已知的赎金下载。

需要注意的是，ILS_ANONYMOUS_USER是一个没有密码的帐户。

我联系了secure@microsoft.com，但是他们的回答很难相信：

主题: RE: Windows - SecurityFeatureBypass -远程RDP登录使用ILS_ANONYMOUS_USER VULN-098797 CRM:0450000683你好，谢谢您与微软安全响应中心联系。您报告的似乎是错误/产品建议，但不符合安全漏洞的定义。因此，这个线程将被关闭，不再被监视。对于由此带来的不便，我们深表歉意。……

但是，存在安全漏洞，Microsoft没有采取任何行动。

解决方案在每个服务器上使用GPEDIT.MSC限制登录到此帐户：

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny Logon locally.

您可以通过查找C:\Users\ILS_ANONYMOUS_USER来检查潜在的“访问”，如果文件夹在那里，那么您就不走运了。给自己管理员权限，必要时更改所有权，查看“下载”文件夹，希望没有坏的文件存在。在我的例子中，我有扫描仪、多个用户名的文件、还有数千个密码的文件，还有一些已知存在升级问题的微软退役应用程序。