ソースIPなしのイベントID 4625

10

開発環境と本番環境では、合計7つのWindows Server(2008/2012)R2 Standard Editionを使用しています。先月、サーバーが侵害され、Windowsイベントビューアで試行の失敗ログが多数見つかりました。私たちはサイバーアームのIDDSを試してみましたが、それが以前にうまくいくとは証明されませんでした。

これで、すべてのサーバーのイメージが再作成され、Administrator / guestアカウントの名前が変更されました。そして、サーバーを再度セットアップした後、このiddsを使用し不要なIPアドレスを検出およびブロックします。

IDDSは正常に機能していますが、イベントビューアでソースIPアドレスなしで4625イベントを取得しています。匿名IPアドレスからのこれらの要求をどのようにブロックできますか?

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

更新: ファイアウォールログを確認した後、これらの4625イベントはとにかくRdpに関連していないと思いますが、SSHまたは私がよく知らないその他の試みである可能性があります

windows-server-2008-r2  windows-server-2012-r2 
アラン
ソース
ワークステーション名を持っているのに、なぜIPアドレスが必要なのですか?
Greg Askew、2015
このワークステーション名は、どのサーバー/ PCにも割り当てられていません。WorkstationNameから誰かがIPアドレスを取得できないと思いますか?
アラン
サーバーがインターネットに直接接続されていない限り、その名前のワークステーションが存在する/存在したようです。この回答を参照してください:serverfault.com/a/403638/20701
Greg Askew '19
私のサーバーはすべてインターネットに接続しているため、上記のように、rdpはNTLMv2で保護されています。また、rdp攻撃の失敗後にブロックされたIPアドレスが表示されますが、eventveiwerのいくつかのログには、IPアドレスが関連付けられていません。私たちが使用しているiddsは、他の4625攻撃とは別に失敗したRdp攻撃を示しています
Alan
答えはここにある:serverfault.com/a/403638/242249
Spongman

回答:

8

失敗したRDP試行のIPアドレスは、NLAが有効化されていても、ここに記録されます(微調整は必要ありません)(Server 2012 R2でテスト済み、他のバージョンは不明)

アプリケーションとサービスのログ> Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / Operational(イベントID 140)

記録されたテキストの例:

ユーザー名またはパスワードが正しくないため、IPアドレスが108.166.xxx.xxxのクライアントコンピューターからの接続に失敗しました。

XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>
保安官
ソース
ありがとう、と私は同じログものIPアドレス捉えていることを確認することができます成功した NLA使用してRDP経由でログオンイベント-イベントID 131
トリックスを
ああ、ユーザー名はありませんか???
jjxtra
3

これは、TLS / SSLを使用した4625イベントおよびRDP接続の既知の制限です。リモートデスクトップサーバーの設定にはRDP暗号化を使用するか、より良いIDS製品を入手する必要があります。

グレッグ・アスキュー
ソース
私たちはすでに暗号化でRdpを使用しています。サイバーアームとsyspeaceをすでに試しましたが、他に何がありますか?
アラン
2

組み込みのWindowsファイアウォールとそのログ設定を使用する必要があります。ログには、すべての着信接続試行のIPアドレスが示されます。すべてのサーバーがインターネットに接続しているとおっしゃいましたが、多層防御戦略の一部としてWindowsファイアウォールを使用しないことの言い訳はありません。過去のRDPへの攻撃の多くは歴史的にNLAの使用によって軽減され、影響を受けるRDPセッションホストはクラシックRDP暗号化のみを実行しているため、NLA(ネットワークレベル認証)をオフにしないことを特にお勧めします。

Windowsファイアウォールのログ

ライアン・リース
ソース
Windowsファイアウォールはロギングとともにオンになっており、RDPはネットワークレベルの認証でのみ許可されているため、ここで述べたことをすでに行っています。これはまったく役に立ちません
Alan
ログには、ポート3389に接続しているユーザーと、それらのIPアドレスが100%の確率で通知されます。その後、そのIPアドレスをWindowsファイアウォールのブラックリストに追加できます。他に何が欲しいですか?
ライアンリース
@EvanAndersonからts_blockも見てください:github.com/EvanAnderson/ts_block
Ryan Ries
ログをチェックした後、ブロックできるIPを今まで見つけられませんでしたが、次のように他のtcpポート上のサーバーにアクセスしようとしているIPアドレスがあります:fe80 :: 586d:5f1f:165:ac2dポート番号5355付き。これらの4625イベントはRdpリクエストから生成されたものではないと思います。SSHやその他の試みが考えられます。
アラン、
デフォルトのポートを変更し、不要なポートをブロックしました
Alan
1

このイベントは通常、古くなった非表示の資格情報が原因で発生します。エラーが発生したシステムからこれを試してください:

コマンドプロンプトpsexec -i -s -d cmd.exe
から:新しいコマンド ウィンドウから: rundll32 keymgr.dll,KRShowKeyMgr

保存されているユーザー名とパスワードのリストに表示されている項目をすべて削除します。コンピュータを再起動します。

zea62
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.