Id Peristiwa 4625 tanpa IP Sumber

10

Kami menggunakan total 7 Windows Server (2008/2012) Edisi Standar R2 untuk lingkungan pengembangan dan produksi. Bulan lalu server kami disusupi dan kami menemukan banyak log upaya yang gagal di windows event viewer. Kami mencoba cyberarms IDDS tetapi tidak terbukti baik sebelumnya.

Sekarang kami telah mencitrakan ulang semua server kami dan mengganti nama akun Administrator / tamu. Dan setelah menyiapkan server lagi kami menggunakan idds ini untuk mendeteksi dan memblokir alamat ip yang tidak diinginkan.

IDDS bekerja dengan baik tetapi kami masih mendapatkan 4625 acara di penampil acara tanpa alamat ip sumber. Bagaimana saya bisa memblokir permintaan ini dari alamat ip anonim?

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

UPDATE: Setelah memeriksa log firewall saya, saya pikir 4625 peristiwa ini tidak terkait dengan Rdp, tetapi mungkin SSH atau upaya lain yang saya tidak kenal

windows-server-2008-r2 windows-server-2012-r2 Alan
sumber
Mengapa Anda memerlukan alamat ip jika Anda memiliki nama workstation?
Greg Askew
Nama workstation ini tidak ditugaskan untuk server / pcs kami. Saya tidak berpikir seseorang bisa mendapatkan alamat ip dari WorkstationName?
Alan
Rupanya ada / adalah workstation dengan nama itu - kecuali server menghadap ke Internet. Lihat jawaban ini: serverfault.com/a/403638/20701
Greg Askew
Semua server saya menghadap ke internet, jadi seperti yang disebutkan di atas rdp diamankan dengan NTLMv2. Kami juga melihat alamat ip diblokir setelah serangan rdp gagal, tetapi beberapa log di eventveiwer tidak memiliki dan terkait alamat ip. Idds yang kami gunakan menunjukkan serangan Rdp yang gagal secara terpisah dari 4625 serangan lainnya
Alan
jawabannya ada di sini: serverfault.com/a/403638/242249
Spongman

Jawaban:

8

Alamat IP untuk upaya RDP yang gagal dicatat di sini bahkan dengan NLA diaktifkan (tidak perlu tweak) (diuji pada Server 2012 R2, tidak yakin tentang versi lain)

Aplikasi dan Log Layanan> Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / Operational (ID Peristiwa 140)

Contoh teks yang dicatat:

Sambungan dari komputer klien dengan alamat IP 108.166.xxx.xxx gagal karena nama pengguna atau kata sandi tidak benar.

XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>
sheriff6241
sumber
Terima kasih, dan saya dapat mengonfirmasi bahwa log yang sama juga menangkap IP dari peristiwa logon yang sukses melalui RDP menggunakan NLA - ID Peristiwa 131.
Trix
Argh, tidak ada nama pengguna ???
jjxtra
3

Ini adalah batasan yang dikenal dengan 4625 event dan koneksi RDP menggunakan TLS / SSL. Anda harus menggunakan enkripsi RDP untuk pengaturan server desktop jarak jauh, atau mendapatkan produk IDS yang lebih baik.

Greg Askew
sumber
Kami sudah menggunakan Rdp dengan enkripsi, kami telah mencoba cyberarms dan syspeace, apa lagi yang ada?
Alan
2

Anda harus menggunakan Firewall Windows bawaan dan pengaturan pencatatannya. Log akan memberi tahu Anda alamat IP dari semua upaya koneksi masuk. Karena Anda menyebutkan bahwa semua server Anda menghadap ke internet, sebenarnya tidak ada alasan untuk tidak menggunakan Windows Firewall sebagai bagian dari strategi pertahanan Anda yang mendalam. Saya secara khusus akan merekomendasikan untuk tidak mematikan NLA (otentikasi tingkat jaringan), karena banyak serangan terhadap RDP di masa lalu telah dimitigasi secara historis dengan penggunaan NLA dan hanya host sesi RDP yang terpengaruh yang menjalankan enkripsi RDP klasik saja.

Windows Firewall Logging

Ryan Ries
sumber
Windows firewall aktif dengan pencatatan, RDP hanya diizinkan pada otentikasi tingkat jaringan, jadi kami sudah melakukan apa yang Anda sebutkan di sini, ini sama sekali tidak membantu
Alan
Log memberitahu Anda siapa yang terhubung ke port 3389 dan dari mana alamat IP mereka berasal, 100% dari waktu. Anda kemudian dapat menambahkan alamat IP itu ke daftar hitam di Windows Firewall. Apa lagi yang kamu mau?
Ryan Ries
Lihat juga ts_block dari @EvanAnderson: github.com/EvanAnderson/ts_block
Ryan Ries
Setelah memeriksa log, saya belum menemukan ip pada port sampai sekarang yang dapat saya blokir, tetapi kami memiliki alamat ip yang mencoba mengakses server kami pada port tcp lain, seperti ip ini: fe80 :: 586d: 5f1f: 165: ac2d Saya menemukan dengan port no 5355. Saya tidak berpikir 4625 peristiwa ini dihasilkan dari permintaan Rdp, mungkin SSH atau upaya lainnya.
Alan
Kami sekarang telah mengubah port default dan memblokir port yang tidak perlu
Alan
1

Acara ini biasanya disebabkan oleh kredensial tersembunyi basi. Coba ini dari sistem yang memberikan kesalahan:

Dari perintah prompt menjalankan: psexec -i -s -d cmd.exe
Dari jendela cmd baru jalankan: rundll32 keymgr.dll,KRShowKeyMgr

Hapus semua item yang muncul dalam daftar Nama Pengguna dan Kata Sandi Tersimpan. Nyalakan ulang komputernya.

zea62
sumber