Identificação de evento 4625 sem IP de origem

10

Estamos usando um total de 7 edições padrão do Windows Server (2008/2012) R2 para ambientes de desenvolvimento e produção. No mês passado, nossos servidores foram comprometidos e encontramos muitos registros de tentativas com falha no visualizador de eventos do Windows. Tentamos o IDDS de ciberarmas, mas não foi bom antes.

Agora, reinventamos a imagem de todos os nossos servidores e renomeamos as contas de administrador / convidado. E depois de configurar os servidores novamente, estamos usando esses IDDS para detectar e bloquear endereços IP indesejados.

O IDDS está funcionando bem, mas ainda estamos recebendo 4625 eventos no visualizador de eventos sem nenhum endereço IP de origem. Como posso bloquear esses pedidos de endereços IP anônimos?

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

ATUALIZAÇÃO: Depois de verificar meus logs de firewall, acho que esses eventos do 4625 não estão relacionados ao Rdp, mas podem ser SSH ou quaisquer outras tentativas com as quais não estou familiarizado

windows-server-2008-r2 windows-server-2012-r2 Alan
fonte
Por que você precisa do endereço IP se você tem o nome da estação de trabalho?
Greg Askew
O nome desta estação de trabalho não está atribuído a nenhum dos nossos servidores / pcs. Eu não acho que alguém possa obter o endereço IP do WorkstationName?
Alan
Aparentemente, existe / houve uma estação de trabalho com esse nome - a menos que o servidor esteja voltado para a Internet. Veja esta resposta: serverfault.com/a/403638/20701
Greg Askew
Todos os meus servidores estão voltados para a Internet, portanto, como mencionado acima, o rdp está protegido com NTLMv2. Também estamos vendo endereços IP bloqueados após ataques rdp com falha, mas alguns logs no eventveiwer não possuem um endereço IP associado. Os IDDS estamos usando mostras falhou ataques Rdp separadamente do que outros 4625 ataques
Alan
A resposta está aqui: serverfault.com/a/403638/242249
Spongman

Respostas:

8

O endereço IP para tentativas fracassadas de RDP é registrado aqui, mesmo com o NLA ativado (nenhum ajuste necessário) (testado no Server 2012 R2, não tenho certeza sobre outras versões)

Logs de aplicativos e serviços> Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / Operational (ID do evento 140)

Exemplo de texto registrado:

Uma conexão do computador cliente com um endereço IP 108.166.xxx.xxx falhou porque o nome do usuário ou a senha não está correta.

XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>
sheriff6241
fonte
Obrigado, e posso confirmar que o mesmo log também captura os IPs de eventos de logon bem-sucedidos via RDP usando NLA - Event ID 131. #
Trix
Argh, sem nome de usuário ???
jjxtra
3

Essa é uma limitação conhecida com o evento 4625 e as conexões RDP usando TLS / SSL. Você precisará usar a criptografia RDP para as configurações do servidor de área de trabalho remota ou obter um produto IDS melhor.

Greg Askew
fonte
Já estamos usando o Rdp com criptografia, já tentamos ciberarmas e syspeace, o que mais existe?
Alan Alan
2

Você deve usar o Firewall do Windows interno e suas configurações de log. Os logs informarão os endereços IP de todas as tentativas de conexão recebidas. Desde que você mencionou que todos os seus servidores estão voltados para a Internet, não há realmente nenhuma desculpa para não usar o Firewall do Windows como parte de sua estratégia de defesa em profundidade. Eu recomendaria especificamente não desativar o NLA (autenticação no nível da rede), já que muitos dos ataques ao RDP no passado foram mitigados pelo uso do NLA e apenas os hosts de sessão do RDP afetados executavam apenas a criptografia RDP clássica.

Registro do Firewall do Windows

Ryan Ries
fonte
As janelas firewall está ativado com o registo, a RDP só é permitida a autenticação de nível de rede, de modo que já estão fazendo o que você mencionou aqui, este é não é útil
Alan
Os logs informam quem está se conectando à porta 3389 e de qual endereço IP eles vêm, 100% do tempo. Você pode adicionar esse endereço IP a uma lista negra no Firewall do Windows. O que mais você quer?
perfil completo de Ryan Ries
Também dê uma olhada no ts_block em @EvanAnderson: github.com/EvanAnderson/ts_block
Ryan Ries
Após verificar os logs, até agora não encontrei nenhum ip na porta que possa bloquear, mas temos endereços IP tentando acessar nossos servidores em outras portas tcp, como este ip: fe80 :: 586d: 5f1f: 165: ac2d que encontrei com porta no 5355. Eu não acho que esses eventos 4625 são gerados a partir de solicitação de Rdp, podem ser SSH ou outras tentativas.
Alan Alan
Agora alteramos as portas padrão e bloqueamos as desnecessárias #
Alan #
1

Esse evento geralmente é causado por uma credencial oculta antiga. Tente isso no sistema que deu o erro:

Em um prompt de comandos, execute: psexec -i -s -d cmd.exe
Na nova janela do cmd, execute: rundll32 keymgr.dll,KRShowKeyMgr

Remova todos os itens que aparecem na lista de nomes de usuário e senhas armazenados. Reinicie o computador.

zea62
fonte