รหัสเหตุการณ์ 4625 โดยไม่มี IP ต้นทาง

10

เรากำลังใช้ Windows Server (2008/2012) R2 Standard Editions จำนวน 7 เครื่องสำหรับการพัฒนาและการผลิต เดือนที่แล้วเซิร์ฟเวอร์ของเราถูกบุกรุกและเราพบว่ามีการพยายามบันทึกล้มเหลวหลายครั้งในโปรแกรมดูเหตุการณ์ของ windows เราลองใช้ cyberarms IDDS แต่ไม่ได้พิสูจน์ว่าดีก่อนหน้านี้

ตอนนี้เราได้ถ่ายภาพเซิร์ฟเวอร์ทั้งหมดของเราใหม่และเปลี่ยนชื่อบัญชีผู้ดูแลระบบ / ผู้เยี่ยมชม และหลังจากตั้งค่าเซิร์ฟเวอร์อีกครั้งเราใช้idds นี้เพื่อตรวจจับและบล็อกที่อยู่ IP ที่ไม่ต้องการ

IDDS ทำงานได้ดี แต่เรายังคงได้รับ 4625 เหตุการณ์ใน Event Viewer โดยไม่มีที่อยู่ IP ต้นทาง ฉันจะบล็อกคำขอเหล่านี้จากที่อยู่ IP ที่ไม่ระบุชื่อได้อย่างไร

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

อัปเดต: หลังจากตรวจสอบบันทึกไฟร์วอลล์ของฉันฉันคิดว่าเหตุการณ์ 4625 เหล่านี้ไม่เกี่ยวข้องกับ Rdp อยู่ดี แต่อาจเป็น SSH หรือความพยายามอื่น ๆ ที่ฉันไม่คุ้นเคย

windows-server-2008-r2  windows-server-2012-r2 
อลัน
แหล่งที่มา
ทำไมคุณต้องมีที่อยู่ ip หากคุณมีชื่อเวิร์กสเตชัน
Greg Askew
ชื่อเวิร์กสเตชันนี้ไม่ได้ถูกกำหนดให้กับเซิร์ฟเวอร์ / ชิ้นใด ๆ ของเรา ฉันไม่คิดว่าจะมีใครสามารถรับที่อยู่ IP จาก WorkstationName ได้บ้าง
Alan
เห็นได้ชัดว่ามี / เป็นเวิร์กสเตชันที่มีชื่อนั้น - ยกเว้นว่าเซิร์ฟเวอร์นั้นเชื่อมต่ออินเทอร์เน็ต ดูคำตอบนี้: serverfault.com/a/403638/20701
Greg Askew
เซิร์ฟเวอร์ทั้งหมดของฉันเชื่อมต่อกับอินเทอร์เน็ตดังนั้นตามที่กล่าวไว้ข้างต้น rdp ปลอดภัยด้วย NTLMv2 นอกจากนี้เรายังเห็นที่อยู่ IP ถูกบล็อกหลังจากการโจมตี rdp ล้มเหลว แต่บันทึกบางส่วนใน eventveiwer ไม่มีและที่อยู่ IP ที่เชื่อมโยงกัน idds ที่เราใช้แสดงให้เห็นว่าล้มเหลวในการโจมตี Rdp แยกต่างหากจากการโจมตี 4625 ครั้งอื่น ๆ
Alan
คำตอบอยู่ที่นี่: serverfault.com/a/403638/242249
Spongman

คำตอบ:

8

ที่อยู่ IP สำหรับความพยายาม RDP ที่ล้มเหลวถูกบันทึกไว้ที่นี่แม้จะเปิดใช้งาน NLA (ไม่จำเป็นต้องมีการปรับแต่ง) (ทดสอบบนเซิร์ฟเวอร์ 2012 R2 ไม่แน่ใจเกี่ยวกับรุ่นอื่น ๆ )

แอปพลิเคชันและบริการบันทึก> Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / Operational (รหัสเหตุการณ์ 140)

ตัวอย่างข้อความที่บันทึกไว้:

การเชื่อมต่อจากคอมพิวเตอร์ไคลเอนต์ที่มีที่อยู่ IP เป็น 108.166.xxx.xxx ล้มเหลวเนื่องจากชื่อผู้ใช้หรือรหัสผ่านไม่ถูกต้อง

XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>
sheriff6241
แหล่งที่มา
ขอขอบคุณและฉันสามารถยืนยันได้ว่าบันทึกเดียวกันนี้ยังบันทึก IP ของเหตุการณ์การเข้าสู่ระบบที่สำเร็จผ่าน RDP โดยใช้ NLA - รหัสเหตุการณ์ 131
Trix
โอ๊ะไม่มีชื่อผู้ใช้ ???
jjxtra
3

นี่เป็นข้อ จำกัด ที่ทราบกันดีกับเหตุการณ์ 4625 รายการและการเชื่อมต่อ RDP โดยใช้ TLS / SSL คุณจะต้องใช้การเข้ารหัส RDP สำหรับการตั้งค่าเซิร์ฟเวอร์เดสก์ท็อประยะไกลหรือรับผลิตภัณฑ์ IDS ที่ดีขึ้น

เกร็กเบน
แหล่งที่มา
เรากำลังใช้ Rdp กับการเข้ารหัสอยู่แล้วเราได้ลองใช้ไซเบอร์อาวุธและ syspeace แล้วมีอะไรอีกบ้าง?
อลัน
2

คุณควรใช้ Windows Firewall ในตัวและการตั้งค่าการบันทึก บันทึกจะบอกที่อยู่ IP ของการพยายามเชื่อมต่อขาเข้าทั้งหมด เนื่องจากคุณกล่าวว่าเซิร์ฟเวอร์ทั้งหมดของคุณเชื่อมต่อกับอินเทอร์เน็ตจึงไม่มีข้อแก้ตัวใดๆ ที่จะไม่ใช้ Windows Firewall เป็นส่วนหนึ่งของกลยุทธ์ในเชิงลึก ฉันขอแนะนำโดยเฉพาะไม่แนะนำให้ปิด NLA (การตรวจสอบความถูกต้องระดับเครือข่าย) เนื่องจากการโจมตี RDP หลายครั้งในอดีตได้รับการลดทอนลงจากการใช้ NLA และเซสชันเซสชัน RDP ที่ได้รับผลกระทบเท่านั้นที่ใช้การเข้ารหัสลับ RDP แบบดั้งเดิมเท่านั้น

การบันทึกไฟร์วอลล์ Windows

Ryan Ries
แหล่งที่มา
ไฟร์วอลล์ windows เปิดใช้งานพร้อมการเข้าสู่ระบบ RDP ได้รับอนุญาตให้ใช้กับการตรวจสอบความถูกต้องระดับเครือข่ายเท่านั้นดังนั้นเราจึงทำสิ่งที่คุณได้กล่าวถึงที่นี่แล้วซึ่งไม่เป็นประโยชน์เลย
Alan
บันทึกจะบอกคุณว่าใครกำลังเชื่อมต่อกับพอร์ต 3389 และที่อยู่ IP ของพวกเขามาจากไหน 100% ของเวลา จากนั้นคุณสามารถเพิ่มที่อยู่ IP นั้นในบัญชีดำในไฟร์วอลล์ Windows คุณต้องการอะไรอีก?
Ryan Ries
ลองดูที่ ts_block จาก @EvanAnderson: github.com/EvanAnderson/ts_block
Ryan Ries
หลังจากตรวจสอบบันทึกแล้วฉันไม่พบ ip ใด ๆ บนพอร์ตจนถึงตอนนี้ซึ่งฉันสามารถบล็อกได้ แต่เรามีที่อยู่ IP ที่พยายามเข้าถึงเซิร์ฟเวอร์ของเราบนพอร์ต tcp อื่น ๆ เช่น ip: fe80 :: 586d: 5f1f: 165: ac2d ฉันพบ ด้วยหมายเลขพอร์ต 5355 ฉันไม่คิดว่าเหตุการณ์ 4625 เหล่านี้สร้างขึ้นจากคำขอ Rdp อาจเป็น SSH หรือความพยายามอื่น ๆ
อลัน
ขณะนี้เราได้เปลี่ยนพอร์ตเริ่มต้นและบล็อกพอร์ตที่ไม่จำเป็น
Alan
1

กิจกรรมนี้มักจะเกิดจากข้อมูลประจำตัวที่ซ่อนอยู่เก่า ลองสิ่งนี้จากระบบที่ให้ข้อผิดพลาด:

จากคำสั่งที่ให้รัน: psexec -i -s -d cmd.exe
จากหน้าต่าง cmd ใหม่ที่รัน: rundll32 keymgr.dll,KRShowKeyMgr

ลบรายการใด ๆ ที่ปรากฏในรายการชื่อผู้ใช้ที่เก็บไว้และรหัสผ่าน รีสตาร์ทคอมพิวเตอร์

zea62
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.