ID evento 4625 senza IP di origine

10

Stiamo utilizzando un totale di 7 edizioni standard di Windows Server (2008/2012) R2 per ambienti di sviluppo e produzione. Il mese scorso i nostri server sono stati compromessi e abbiamo trovato molti log dei tentativi non riusciti nel Visualizzatore eventi di Windows. Abbiamo provato IDDS cyberarm ma non si è rivelato buono prima.

Ora abbiamo ripreso l'immagine di tutti i nostri server e ribattezzato account amministratore / guest. E dopo aver impostato nuovamente i server stiamo usando questi ID per rilevare e bloccare indirizzi IP indesiderati.

L'IDDS sta funzionando bene ma stiamo ancora ricevendo 4625 eventi nel Visualizzatore eventi senza alcun indirizzo IP di origine. Come posso bloccare queste richieste da indirizzi IP anonimi?

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

AGGIORNAMENTO: Dopo aver verificato i log del mio firewall, penso che questi eventi 4625 non siano comunque correlati a Rdp, ma potrebbero essere SSH o altri tentativi con cui non ho familiarità

windows-server-2008-r2  windows-server-2012-r2 
Alan
fonte
Perché hai bisogno dell'indirizzo IP se hai il nome della workstation?
Greg Askew,
Il nome di questa workstation non è assegnato a nessuno dei nostri server / pc. Non penso che qualcuno possa ottenere l'indirizzo IP da WorkstationName?
Alan,
Apparentemente esiste / era una workstation con quel nome, a meno che il server non sia rivolto a Internet. Vedi questa risposta: serverfault.com/a/403638/20701
Greg Askew,
Tutti i miei server sono rivolti a Internet, quindi, come detto sopra, rdp è protetto con NTLMv2. Inoltre stiamo vedendo gli indirizzi IP bloccati dopo attacchi rdp falliti, ma alcuni dei log in eventveiwer non hanno e un indirizzo IP associato. Gli idd che stiamo usando mostrano attacchi Rdp falliti separatamente rispetto ad altri attacchi 4625
Alan
la risposta è qui: serverfault.com/a/403638/242249
Spongman,

Risposte:

8

L'indirizzo IP per tentativi RDP non riusciti viene registrato qui anche con NLA abilitato (non sono necessarie modifiche) (testato su Server 2012 R2, non sono sicuro delle altre versioni)

Registri applicazioni e servizi> Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / Operational (ID evento 140)

Esempio di testo registrato:

Una connessione dal computer client con un indirizzo IP di 108.166.xxx.xxx non è riuscita perché il nome utente o la password non sono corretti.

XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>
sheriff6241
fonte
Grazie e posso confermare che lo stesso registro acquisisce anche gli IP degli eventi di accesso riusciti tramite RDP utilizzando NLA - ID evento 131.
Trix
Argh, nessun nome utente ???
jjxtra,
3

Questa è una limitazione nota con l'evento 4625 e le connessioni RDP che utilizzano TLS / SSL. Sarà necessario utilizzare la crittografia RDP per le impostazioni del server desktop remoto o ottenere un prodotto IDS migliore.

Greg Askew
fonte
Stiamo già utilizzando Rdp con crittografia, abbiamo già provato cyberarm e syspeace, cos'altro c'è?
Alan,
2

È necessario utilizzare Windows Firewall integrato e le relative impostazioni di registrazione. I registri ti diranno gli indirizzi IP di tutti i tentativi di connessione in entrata. Dal momento che lei ha detto che tutti i server sono connessi a Internet, non c'è davvero nessuna scusa per non utilizzare il firewall di Windows come parte della vostra strategia di difesa in profondità. Consiglio in particolare di non disattivare l'NLA (autenticazione a livello di rete) poiché molti degli attacchi a RDP in passato sono stati storicamente mitigati dall'uso di NLA e hanno interessato solo gli host di sessione RDP che eseguono solo la crittografia RDP classica.

Registrazione di Windows Firewall

Ryan Ries
fonte
Il firewall di Windows è attivo con la registrazione, l'RDP è consentito solo sull'autenticazione a livello di rete, quindi stiamo già facendo ciò che hai menzionato qui, questo non è affatto utile
Alan
I registri indicano chi si sta connettendo alla porta 3389 e da quale indirizzo IP provengono, il 100% delle volte. È quindi possibile aggiungere quell'indirizzo IP a una lista nera in Windows Firewall. Cos'altro vuoi?
Ryan Ries,
Dai anche un'occhiata a ts_block da @EvanAnderson: github.com/EvanAnderson/ts_block
Ryan Ries,
Dopo aver controllato i log non ho trovato alcun ip sulla porta fino ad ora che posso bloccare, ma abbiamo indirizzi IP che provano ad accedere ai nostri server su altre porte tcp, come questo ip: fe80 :: 586d: 5f1f: 165: ac2d ho trovato con la porta n. 5355. Non credo che questi eventi 4625 siano generati dalla richiesta Rdp, potrebbero essere SSH o altri tentativi.
Alan,
Ora abbiamo cambiato le porte predefinite e bloccato le porte non necessarie
Alan
1

Questo evento è generalmente causato da credenziali nascoste non aggiornate. Prova questo dal sistema dando l'errore:

Da un prompt dei comandi eseguito: psexec -i -s -d cmd.exe
Dalla nuova esecuzione cmd della finestra: rundll32 keymgr.dll,KRShowKeyMgr

Rimuovere tutti gli elementi che compaiono nell'elenco di nomi utente e password memorizzati. Riavvia il computer.

zea62
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.