Id. De evento 4625 sin IP de origen

10

Estamos utilizando un total de 7 Windows Server (2008/2012) R2 Standard Editions para entornos de desarrollo y producción. El mes pasado nuestros servidores se vieron comprometidos y encontramos muchos intentos fallidos de registro en el visor de eventos de Windows. Probamos los IDDS de cyberarms, pero no demostró ser bueno antes.

Ahora hemos reimpreso todos nuestros servidores y hemos cambiado el nombre de las cuentas de administrador / invitado. Y después de configurar los servidores nuevamente, estamos usando estos idds para detectar y bloquear direcciones IP no deseadas.

El IDDS funciona bien, pero aún estamos obteniendo 4625 eventos en el visor de eventos sin ninguna dirección IP de origen. ¿Cómo puedo bloquear estas solicitudes de direcciones IP anónimas?

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

ACTUALIZACIÓN: Después de verificar los registros de mi firewall, creo que estos 4625 eventos no están relacionados con Rdp de todos modos, pero pueden ser SSH o cualquier otro intento con el que no estoy familiarizado

windows-server-2008-r2 windows-server-2012-r2 Alan
fuente
¿Por qué necesita la dirección IP si tiene el nombre de la estación de trabajo?
Greg Askew
El nombre de esta estación de trabajo no está asignado a ninguno de nuestros servidores / PC. ¿No creo que alguien pueda obtener la dirección IP de WorkstationName?
Alan
Aparentemente hay / había una estación de trabajo con ese nombre, a menos que el servidor esté conectado a Internet. Vea esta respuesta: serverfault.com/a/403638/20701
Greg Askew
Todos mis servidores están conectados a Internet, por lo que, como se mencionó anteriormente, rdp está protegido con NTLMv2. También estamos viendo direcciones IP bloqueadas después de fallidos ataques rdp, pero algunos registros en eventveiwer no tienen una dirección IP asociada. Los idds que estamos usando muestran ataques Rdp fallidos por separado que otros ataques 4625
Alan
la respuesta está aquí: serverfault.com/a/403638/242249
Spongman el

Respuestas:

8

La dirección IP para intentos fallidos de RDP se registra aquí incluso con NLA habilitado (no se requieren ajustes) (probado en Server 2012 R2, no estoy seguro acerca de otras versiones)

Registros de aplicaciones y servicios> Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / Operational (Event ID 140)

Ejemplo de texto registrado:

Una conexión desde la computadora cliente con una dirección IP de 108.166.xxx.xxx falló porque el nombre de usuario o la contraseña no son correctos.

XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>
sheriff6241
fuente
Gracias, y puedo confirmar que el mismo registro también captura las IP de eventos de inicio de sesión exitosos a través de RDP usando NLA - Event ID 131.
Trix
Argh, no hay nombre de usuario ???
jjxtra
3

Esta es una limitación conocida con el evento 4625 y las conexiones RDP que usan TLS / SSL. Deberá usar el cifrado RDP para la configuración del servidor de escritorio remoto u obtener un mejor producto IDS.

Greg Askew
fuente
Ya estamos usando Rdp con cifrado, ya hemos probado cyberarms y syspeace, ¿qué más hay?
Alan
2

Debe usar el Firewall de Windows incorporado y su configuración de registro. Los registros le indicarán las direcciones IP de todos los intentos de conexión entrantes. Como mencionó que todos sus servidores están conectados a Internet, realmente no hay excusa para no usar el Firewall de Windows como parte de su estrategia de defensa en profundidad. Recomendaría específicamente no desactivar NLA (autenticación a nivel de red), ya que muchos de los ataques a RDP en el pasado han sido mitigados históricamente por el uso de NLA y solo afectaron a los hosts de sesión RDP que ejecutan solo el cifrado RDP clásico.

Registro de Firewall de Windows

Ryan Ries
fuente
El cortafuegos de Windows está activado con el registro, el RDP solo está permitido en la autenticación a nivel de red, por lo que ya estamos haciendo lo que ha mencionado aquí, esto no es útil en absoluto
Alan
Los registros le dicen quién se conecta al puerto 3389 y de qué dirección IP provienen, el 100% del tiempo. Luego puede agregar esa dirección IP a una lista negra en el Firewall de Windows. ¿Qué más quieres?
Ryan Ries
También eche un vistazo a ts_block de @EvanAnderson: github.com/EvanAnderson/ts_block
Ryan Ries
Después de verificar los registros, hasta ahora no he encontrado ninguna ip en el puerto que pueda bloquear, pero tenemos direcciones IP que intentan acceder a nuestros servidores en otros puertos tcp, como esta ip: fe80 :: 586d: 5f1f: 165: ac2d que encontré con puerto no 5355. No creo que estos 4625 eventos se generen a partir de la solicitud de Rdp, pueden ser SSH u otros intentos.
Alan
Ahora hemos cambiado los puertos predeterminados y bloqueado los puertos innecesarios
Alan
1

Este evento generalmente es causado por una credencial oculta obsoleta. Pruebe esto desde el sistema que da el error:

Desde un símbolo del sistema, ejecute: psexec -i -s -d cmd.exe
Desde la nueva ventana de cmd, ejecute: rundll32 keymgr.dll,KRShowKeyMgr

Elimine cualquier elemento que aparezca en la lista de nombres de usuario y contraseñas almacenados. Reinicia la computadora.

zea62
fuente