Saya memiliki banyak kegagalan audit dengan ID peristiwa 4625 dan tipe Logon 3 di log peristiwa saya.
Apakah masalah ini membentuk server saya (layanan internal atau aplikasi)? Atau ini serangan brute force? Akhirnya Bagaimana saya bisa menemukan sumber login ini dan menyelesaikan masalah?
Ini adalah informasi terperinci di tab Umum:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: aaman
Account Domain:
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: test2
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
**And this is detailed information in Detail Tab:**
+ System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}
EventID 4625
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8010000000000000
- TimeCreated
[ SystemTime] 2015-05-09T06:57:00.043746400Z
EventRecordID 2366430
Correlation
- Execution
[ ProcessID] 696
[ ThreadID] 716
Channel Security
Computer WIN-24E2M40BR7H
Security
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-0-0
TargetUserName aaman
TargetDomainName
Status 0xc000006d
FailureReason %%2313
SubStatus 0xc0000064
LogonType 3
LogonProcessName NtLmSsp
AuthenticationPackageName NTLM
WorkstationName test2
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress -
IpPort -
windows-server-2012-r2
brute-force-attacks
Mohsen Tavoosi محسن طاوسی
sumber
sumber
Jawaban:
Saya memiliki jenis acara yang sama di server. Ada ratusan upaya login dengan nama pengguna yang berbeda tetapi tidak ada ID proses atau alamat IP yang terlihat.
Saya cukup yakin itu berasal dari koneksi RDP melalui internet tanpa otentikasi tingkat jaringan.
sumber
Solusi yang berhasil saya temukan di sini: https://github.com/DigitalRuby/IPBan
Untuk Windows Server 2008 atau yang setara, Anda harus menonaktifkan login NTLM dan hanya membolehkan login NTLM2. Pada Windows Server 2008, tidak ada cara untuk mendapatkan alamat ip login NTLM. Gunakan secpol -> kebijakan lokal -> opsi keamanan -> keamanan jaringan membatasi lalu lintas masuk ntlm ntlm -> tolak semua akun.
Dalam versi RU: Локальная политика безопасности -> Локальные политики -> Параметры безопасности -> Сетевая безопасность: ограничения NTLM: входящий трафик NTLM -> Запретить все учетные записи
sumber
Ini adalah serangan hack. Tujuan penyerang adalah untuk memaksa akun / kata sandi server Anda.
Saya akan menyarankan untuk menginstal Intrusion Detection System (IDS) yang sederhana. Anda mungkin ingin mempertimbangkan RDPGuard (komersial), IPBan, evlWatcher. Saya sendiri menggunakan IDS Cyberarms. Yang ini sederhana, memiliki antarmuka yang ramah (membutuhkan .NET Framework 4.0).
Idenya sederhana: IDS memonitor log keamanan server Anda untuk peristiwa kegagalan masuk yang mencurigakan. Kemudian kunci-lunak alamat IP (es), upaya datang dari. Anda juga dapat mengonfigurasi kunci keras ketika upaya dari IP yang dikunci lunak berlanjut.
sumber
Apakah ada Domain Controller yang dimatikan ketika ini terjadi? Ini terlihat sangat mirip dengan skenario yang dijelaskan dalam artikel ini:
https://support.microsoft.com/en-us/kb/2683606
Ketika Windows memasuki kondisi shutdown, itu harus memberitahu klien baru yang berusaha untuk mengotentikasi terhadap DC bahwa mereka perlu menghubungi DC yang berbeda. Dalam beberapa kasus, DC akan membalas klien bahwa pengguna tidak ada. Ini akan menyebabkan kegagalan otentikasi berulang hingga pengendali domain akhirnya selesai dimatikan dan klien dipaksa untuk beralih DC.
Solusi yang diusulkan dalam artikel ini adalah menghentikan layanan netlogon pada Kontroler Domain sebelum mematikan server. Ini membuatnya tidak tersedia untuk otentikasi sebelum memasuki kondisi mati dan memaksa klien untuk menemukan DC baru.
sumber
Acara ini biasanya disebabkan oleh kredensial tersembunyi basi. Coba ini dari sistem yang memberikan kesalahan:
Dari perintah prompt menjalankan:
psexec -i -s -d cmd.exe
Dari jendela cmd baru jalankan:
rundll32 keymgr.dll,KRShowKeyMgr
Hapus semua item yang muncul dalam daftar Nama Pengguna dan Kata Sandi Tersimpan. Nyalakan ulang komputernya.
sumber