Kaynak IP'siz 4625 Olay Kimliği

10

Geliştirme ve üretim ortamları için toplam 7 Windows Server (2008/2012) R2 Standart Sürüm kullanıyoruz. Geçen ay sunucularımızın güvenliği ihlal edildi ve Windows olay görüntüleyicisinde birçok başarısız deneme günlüğü bulduk. IDDS sibiyotlarını denedik, ancak daha önce iyi olduğu kanıtlanmadı.

Şimdi tüm sunucularımızı yeniden görüntüledik ve Yönetici / konuk hesaplarını yeniden adlandırdık. Ve sunucuları tekrar kurduktan sonra, istenmeyen IP adreslerini tespit etmek ve engellemek için bu kimlikleri kullanıyoruz .

IDDS iyi çalışıyor ancak yine de herhangi bir kaynak ip adresi olmadan olay görüntüleyicide 4625 olay alıyoruz. Bu istekleri anonim ip adreslerinden nasıl engelleyebilirim?

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

GÜNCELLEME: Güvenlik duvarı günlüklerimi kontrol ettikten sonra bu 4625 olaylarının yine de Rdp ile ilişkili olmadığını düşünüyorum, ancak SSH veya aşina olmadığım başka girişimler olabilir

windows-server-2008-r2  windows-server-2012-r2 
Alan
kaynak
İş istasyonu adınız varsa neden IP adresine ihtiyacınız var?
Greg Askew
Bu iş istasyonu adı hiçbir sunucumuza / adetimize atanmamıştır. Birisi WorkstationName IP adresi alabilirsiniz sanmıyorum?
Alan
Görünüşe göre sunucu Internet'e bakmadığı sürece bu isimle bir iş istasyonu var / vardı. Bu yanıta bakın: serverfault.com/a/403638/20701
Greg Askew
Tüm sunucularım internete bakmaktadır, bu nedenle yukarıda belirtildiği gibi rdp NTLMv2 ile güvence altına alınmıştır. Ayrıca başarısız rdp saldırılarından sonra ip adreslerinin engellendiğini görüyoruz, ancak eventveiwer'deki günlüklerin birkaçında ip adresi bulunmuyor. Kullandığımız idd'ler başarısız Rdp saldırılarını diğer 4625 saldırılarından ayrı olarak gösteriyor
Alan
Spongman

Yanıtlar:

8

Başarısız RDP denemelerinin IP adresi, NLA etkinken bile (burada tweak gerekli değil) kaydedilir (Server 2012 R2'de test edilmiştir, diğer sürümlerden emin değilsiniz)

Uygulama ve Hizmet Günlükleri> Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / Operasyonel (Olay Kimliği 140)

Kayıtlı metin örneği:

Kullanıcı adı veya parola doğru olmadığı için istemci bilgisayardan IP adresi 108.166.xxx.xxx olan bir bağlantı başarısız oldu.

XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>
sheriff6241
kaynak
Teşekkür ederim ve aynı günlüğün, NLA - Olay Kimliği 131 kullanarak RDP aracılığıyla başarılı oturum açma olaylarının IP'lerini de yakaladığını doğrulayabilirim.
Trix
Argh, kullanıcı adı yok ???
jjxtra
3

Bu, 4625 olayı ve TLS / SSL kullanan RDP bağlantıları ile bilinen bir sınırlamadır. Uzak masaüstü sunucu ayarları için RDP şifrelemesi kullanmanız veya daha iyi bir IDS ürünü almanız gerekir.

Greg Askew
kaynak
Zaten Rdp'yi şifrelemeyle kullanıyoruz, siberarşileri ve syspeace'i zaten denedik, başka ne var?
Alan
2

Yerleşik Windows Güvenlik Duvarı'nı ve günlük ayarlarını kullanmalısınız. Günlükler, gelen tüm bağlantı denemelerinin IP adreslerini size bildirir. Tüm sunucularınızın internete dönük olduğundan bahsettiğiniz için, Windows Güvenlik Duvarı'nı savunma stratejinizin bir parçası olarak derinlemesine stratejinizin bir parçası olarak kullanmamanız için hiçbir mazeret yoktur . Özellikle öneriyoruz değil tarihsel NLA kullanımı ve yalnızca klasik RDP şifreleme çalışan sadece etkilenen RDP oturumu ana hafifletilebilir edilmiştir geçmişte RDP saldırıların çoğunun beri NLA'nın (ağ düzeyi kimlik doğrulaması,) kapatarak.

Windows Güvenlik Duvarı Günlüğü

Ryan Ries
kaynak
Windows güvenlik duvarı günlüğe kaydetme ile açık, RDP'ye yalnızca ağ düzeyinde kimlik doğrulaması için izin verildi, bu yüzden burada bahsettiğiniz şeyi zaten yapıyoruz, bu hiç yardımcı olmuyor
Alan
Günlükler, 3389 numaralı bağlantı noktasına kimin bağlandığını ve hangi IP adresinden geldiklerini,% 100 oranında bildirir. Daha sonra bu IP adresini Windows Güvenlik Duvarı'ndaki bir kara listeye ekleyebilirsiniz. Başka ne istiyorsun?
Ryan Ries
@EvanAnderson'dan ts_block'a da göz atın: github.com/EvanAnderson/ts_block
Ryan Ries
Günlükleri kontrol ettikten sonra şu ana kadar bağlantı noktasında herhangi bir ip bulamadım, ancak bu ip gibi diğer tcp bağlantı noktalarındaki sunucularımıza erişmeye çalışan ip adreslerimiz var: buldum: fe80 :: 586d: 5f1f: 165: ac2d buldum 5355 numaralı bağlantı noktasıyla. Bu 4625 olaylarının Rdp isteğinden üretildiğini sanmıyorum, SSH veya başka girişimler olabilir.
Alan
Şimdi varsayılan bağlantı noktalarını değiştirdik ve gereksiz bağlantı noktalarını engelledik
Alan
1

Bu olaya genellikle eski bir gizli kimlik bilgisi neden olur. Hata veren sistemden bunu deneyin:

Bir komut isteminden çalıştır: psexec -i -s -d cmd.exe
Yeni cmd penceresinden çalıştır: rundll32 keymgr.dll,KRShowKeyMgr

Kayıtlı Kullanıcı Adları ve Parolalar listesinde görünen tüm öğeleri kaldırın. Bilgisayarı yeniden başlatın.

zea62
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.