Идентификатор события 4625 без исходного IP

10

В общей сложности мы используем 7 стандартных выпусков Windows Server (2008/2012) R2 для сред разработки и производства. В прошлом месяце наши серверы были взломаны, и мы нашли много журналов неудачных попыток в средстве просмотра событий Windows. Мы попробовали IDDS киберармы, но раньше это не помогло.

Теперь мы изменили образы всех наших серверов и переименовали учетные записи администратора / гостя. И после повторной настройки серверов мы используем эти идентификаторы для обнаружения и блокировки нежелательных IP-адресов.

IDDS работает хорошо, но мы все равно получаем 4625 событий в средстве просмотра событий без IP-адреса источника. Как я могу заблокировать эти запросы от анонимных IP-адресов?

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

ОБНОВЛЕНИЕ: после проверки журналов брандмауэра я думаю, что эти события 4625 в любом случае не связаны с Rdp, но могут быть SSH или любыми другими попытками, с которыми я не знаком

windows-server-2008-r2 windows-server-2012-r2 Алан
источник
Зачем вам IP-адрес, если у вас есть имя рабочей станции?
Грег Аскью
Это имя рабочей станции не назначено ни одному из наших серверов / шт. Я не думаю, что кто-то может получить IP-адрес от WorkstationName?
Алан
Очевидно, есть / была рабочая станция с таким именем - если сервер не подключен к Интернету. Смотрите этот ответ: serverfault.com/a/403638/20701
Грег Аскью,
Все мои серверы подключены к Интернету, поэтому, как уже упоминалось выше, протокол rdp защищен NTLMv2. Также мы видим, что ip-адреса блокируются после неудачных rdp-атак, но некоторые журналы в eventveiwer не имеют и связаны с ip-адресом. Идентификаторы, которые мы используем, показывают неудачные атаки Rdp отдельно от других 4625 атак
Алан
Ответ здесь: serverfault.com/a/403638/242249
Spongman

Ответы:

8

IP-адрес для неудачных попыток RDP регистрируется здесь даже с включенным NLA (никаких настроек не требуется) (проверено на Server 2012 R2, не уверен в других версиях)

Журналы приложений и служб> Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / операционная (код события 140)

Пример зарегистрированного текста:

Не удалось установить соединение с клиентского компьютера с IP-адресом 108.166.xxx.xxx из-за неправильного имени пользователя или пароля.

XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>
sheriff6241
источник
Спасибо, и я могу подтвердить, что тот же журнал также фиксирует IP-адреса успешных событий входа в систему через RDP с использованием NLA - Идентификатор события 131.
Трикс
Argh, нет имени пользователя ???
Jjxtra
3

Это известное ограничение для событий 4625 и RDP-соединений с использованием TLS / SSL. Вам нужно будет использовать шифрование RDP для настройки сервера удаленного рабочего стола или получить более качественный продукт IDS.

Грег Аскью
источник
Мы уже используем Rdp с шифрованием, мы уже пробовали киберармы и syspeace, что еще там?
Алан
2

Вы должны использовать встроенный брандмауэр Windows и его настройки ведения журнала. В журналах будут указаны IP-адреса всех входящих попыток подключения. Поскольку вы упомянули, что все ваши серверы подключены к Интернету, на самом деле нет оправдания тому, что вы не используете брандмауэр Windows как часть своей стратегии глубокой защиты. Я бы особенно рекомендовал не отключать NLA (аутентификацию на уровне сети), поскольку многие из атак на RDP в прошлом исторически были смягчены использованием NLA и затрагивали только узлы сеансов RDP, использующие только классическое шифрование RDP.

Ведение журнала брандмауэра Windows

Райан Райс
источник
Брандмауэр Windows включен при ведении журнала, RDP разрешен только при проверке подлинности на сетевом уровне, поэтому мы уже делаем то, что вы упомянули здесь, это совсем не полезно
Алан
Журналы говорят вам, кто подключается к порту 3389 и с какого IP-адреса они приходят, 100% времени. Затем вы можете добавить этот IP-адрес в черный список в брандмауэре Windows. Что еще вы хотите?
Райан Райс
Также взгляните на ts_block от @EvanAnderson: github.com/EvanAnderson/ts_block
Райан Райс
После проверки логов я до сих пор не нашел ни одного ip-порта, который я могу заблокировать, но у нас есть ip-адреса, пытающиеся получить доступ к нашим серверам через другие tcp-порты, например, ip: fe80 :: 586d: 5f1f: 165: ac2d, который я нашел с портом № 5355. Я не думаю, что эти 4625 событий генерируются из запроса Rdp, это может быть SSH или некоторые другие попытки.
Алан
Теперь мы изменили порты по умолчанию и заблокировали ненужные порты
Alan
1

Это событие обычно вызывается устаревшими скрытыми учетными данными. Попробуйте это из системы, выдавшей ошибку:

Из командной строки запустите: psexec -i -s -d cmd.exe
Из нового окна cmd запустите: rundll32 keymgr.dll,KRShowKeyMgr

Удалите все элементы, которые появляются в списке сохраненных имен пользователей и паролей. Перезагрузите компьютер.

zea62
источник