Id sự kiện 4625 không có IP nguồn

10

Chúng tôi đang sử dụng tổng cộng 7 Phiên bản tiêu chuẩn R2 của Windows Server (2008/2012) cho các môi trường phát triển và sản xuất. Tháng trước máy chủ của chúng tôi đã bị xâm nhập và chúng tôi đã tìm thấy nhiều nhật ký thử thất bại trong trình xem sự kiện của windows. Chúng tôi đã thử IDDS trên mạng nhưng nó không được chứng minh là tốt trước đó.

Bây giờ chúng tôi đã tái tạo lại tất cả các máy chủ của mình và đổi tên thành tài khoản Quản trị viên / khách. Và sau khi thiết lập lại máy chủ, chúng tôi đang sử dụng idds này để phát hiện và chặn các địa chỉ IP không mong muốn.

IDDS đang hoạt động tốt nhưng chúng tôi vẫn nhận được 4625 sự kiện trong trình xem sự kiện mà không có bất kỳ địa chỉ IP nguồn nào. Làm cách nào tôi có thể chặn các yêu cầu này từ các địa chỉ IP ẩn danh?

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

CẬP NHẬT: Sau khi kiểm tra nhật ký tường lửa của tôi, tôi nghĩ rằng 4625 sự kiện này không liên quan đến Rdp, nhưng có thể là SSH hoặc bất kỳ nỗ lực nào khác mà tôi không quen thuộc

windows-server-2008-r2  windows-server-2012-r2 
Alan
nguồn
Tại sao bạn cần địa chỉ IP nếu bạn có tên máy trạm?
Greg Askew
Tên máy trạm này không được gán cho bất kỳ máy chủ / máy tính nào của chúng tôi. Tôi không nghĩ ai đó có thể lấy địa chỉ IP từ WorkstationName?
Alan
Rõ ràng có / là một máy trạm có tên đó - trừ khi máy chủ phải đối mặt với Internet. Xem câu trả lời này: serverfault.com/a/403638/20701
Greg Askew
Tất cả các máy chủ của tôi đều phải đối mặt với internet, vì vậy, như đã đề cập ở trên, ndp được bảo mật bằng NTLMv2. Ngoài ra, chúng tôi đang thấy các địa chỉ IP bị chặn sau các cuộc tấn công không thành công, nhưng một số nhật ký trong eventveiwer không có và địa chỉ IP liên quan. Các idds mà chúng tôi đang sử dụng cho thấy các cuộc tấn công Rdp thất bại riêng biệt so với các cuộc tấn công 4625 khác
Alan
câu trả lời là đây: serverfault.com/a/403638/242249
Spongman

Câu trả lời:

8

Địa chỉ IP cho các lần thử RDP không thành công được ghi lại ở đây ngay cả khi đã bật NLA (không yêu cầu chỉnh sửa) (đã thử nghiệm trên Server 2012 R2, không chắc chắn về các phiên bản khác)

Nhật ký ứng dụng và dịch vụ> Microsoft-Windows-RemoteDesktopService-RdpCoreTS / Toán tử (ID sự kiện 140)

Ví dụ văn bản đã ghi:

Kết nối từ máy khách có địa chỉ IP 108.166.xxx.xxx không thành công do tên người dùng hoặc mật khẩu không chính xác.

XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>
cảnh sát trưởng6241
nguồn
Cảm ơn bạn và tôi có thể xác nhận rằng cùng một nhật ký cũng ghi lại IP của các sự kiện đăng nhập thành công thông qua RDP bằng NLA - ID sự kiện 131.
Trix
Argh, không có tên người dùng ???
jjxtra
3

Đây là một hạn chế đã biết với kết nối 4625 sự kiện và RDP sử dụng TLS / SSL. Bạn sẽ cần sử dụng mã hóa RDP cho cài đặt máy chủ từ xa hoặc nhận được sản phẩm IDS tốt hơn.

Greg Askew
nguồn
Chúng tôi đã sử dụng Rdp với mã hóa, chúng tôi đã thử cyberarms và syspeace rồi, còn gì nữa không?
Alan
2

Bạn nên sử dụng Windows Firewall tích hợp và cài đặt ghi nhật ký của nó. Nhật ký sẽ cho bạn biết địa chỉ IP của tất cả các lần thử kết nối đến. Vì bạn đã đề cập rằng tất cả các máy chủ của bạn đều phải đối mặt với internet, nên thực sự không có lý do gì để không sử dụng Tường lửa Windows như một phần trong chiến lược chuyên sâu của bạn. Tôi đặc biệt khuyên bạn không nên tắt NLA (xác thực cấp mạng) vì nhiều cuộc tấn công vào RDP trong quá khứ đã được giảm nhẹ bằng cách sử dụng NLA và chỉ các máy chủ phiên RDP bị ảnh hưởng chỉ chạy mã hóa RDP cổ điển.

Ghi nhật ký tường lửa Windows

Ryan Ries
nguồn
Tường lửa windows được bật khi đăng nhập, RDP chỉ được phép xác thực cấp mạng, vì vậy chúng tôi đã làm những gì bạn đã đề cập ở đây, điều này không hữu ích chút nào
Alan
Nhật ký cho bạn biết ai đang kết nối với cổng 3389 và họ đến từ địa chỉ IP nào, 100% thời gian. Sau đó, bạn có thể thêm địa chỉ IP đó vào danh sách đen trong Tường lửa Windows. Bạn có muốn gì khác không?
Ryan Ries
Ngoài ra, hãy xem ts_block từ @EvanAnderson: github.com/EvanAnderson/ts_block
Ryan Ries
Sau khi kiểm tra nhật ký Tôi không tìm thấy bất kỳ ip nào trên cổng cho đến bây giờ tôi có thể chặn, nhưng chúng tôi có địa chỉ IP đang cố truy cập máy chủ của chúng tôi trên các cổng tcp khác, như ip này: fe80 :: 586d: 5f1f: 165: ac2d với cổng số 5355. Tôi không nghĩ 4625 sự kiện này được tạo từ yêu cầu Rdp, có thể là SSH hoặc một số nỗ lực khác.
Alan
Hiện tại chúng tôi đã thay đổi các cổng mặc định và chặn các cổng không cần thiết
Alan
1

Sự kiện này thường được gây ra bởi một thông tin ẩn cũ. Hãy thử điều này từ hệ thống đưa ra lỗi:

Từ một dấu nhắc lệnh chạy: psexec -i -s -d cmd.exe
Từ cửa sổ cmd mới chạy: rundll32 keymgr.dll,KRShowKeyMgr

Xóa mọi mục xuất hiện trong danh sách Tên người dùng và mật khẩu được lưu trữ. Khởi động lại máy tính.

zea62
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.