Cómo encontrar la fuente de 4625 Event ID en Windows Server 2012

8

Tengo muchos errores de auditoría con el ID de evento 4625 y el inicio de sesión tipo 3 en mi registro de eventos.

¿Es este problema mi servidor (servicios internos o aplicaciones)? ¿O este es un ataque de fuerza bruta? Finalmente, ¿cómo puedo encontrar la fuente de estos inicios de sesión y resolver el problema?

Esta es información detallada en la pestaña General:

An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       aaman
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   test2
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

**And this is detailed information in Detail Tab:**

+ System 

  - Provider 

   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 

   EventID 4625 

   Version 0 

   Level 0 

   Task 12544 

   Opcode 0 

   Keywords 0x8010000000000000 

  - TimeCreated 

   [ SystemTime]  2015-05-09T06:57:00.043746400Z 

   EventRecordID 2366430 

   Correlation 

  - Execution 

   [ ProcessID]  696 
   [ ThreadID]  716 

   Channel Security 

   Computer WIN-24E2M40BR7H 

   Security 


- EventData 

  SubjectUserSid S-1-0-0 
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-0-0 
  TargetUserName aaman 
  TargetDomainName  
  Status 0xc000006d 
  FailureReason %%2313 
  SubStatus 0xc0000064 
  LogonType 3 
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM 
  WorkstationName test2 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x0 
  ProcessName - 
  IpAddress - 
  IpPort -
windows-server-2012-r2 brute-force-attacks Mohsen Tavoosi محسن طاوسی
fuente
ver aquí: serverfault.com/a/403638/242249
Spongman el

Respuestas:

3

Tuve el mismo tipo de eventos en un servidor. Hubo cientos de intentos de inicio de sesión con diferentes nombres de usuario pero sin identificación de proceso o dirección IP visible.

Estoy bastante seguro de que provenía de conexiones RDP a través de Internet sin autenticación de nivel de red.

alfanimal
fuente
No estaría tan tranquilo si fuera tú. Estos son los intentos de pirateo.
Interfaz desconocida
3

Solución de trabajo que encontré aquí: https://github.com/DigitalRuby/IPBan

Para Windows Server 2008 o equivalente, debe deshabilitar los inicios de sesión NTLM y solo permitir los inicios de sesión NTLM2. En Windows Server 2008, no hay forma de obtener la dirección IP de los inicios de sesión NTLM. Use secpol -> políticas locales -> opciones de seguridad -> seguridad de red restringir ntlm tráfico entrante ntlm -> denegar todas las cuentas.

En la versión RU: Локальная политика безопасности -> Локальные политики -> Параметры безопасности -> Сетевая безопасность: ограничения NTLM: входящий трафик NTLM -> Запретить все учетные записи

Igor Ostroumov
fuente
¡Bloqueó todos los ataques NTLM con su solución! Gracias incluso lo trajiste de esa página de GitHub. ¡Es tan encantador que respondiste así!
Josep Alacid
1

Estos son los ataques de pirateo. El objetivo de los atacantes es forzar a las cuentas / contraseñas de su servidor.

Sugeriría instalar un sistema de detección de intrusiones (IDS) simple. Es posible que desee considerar RDPGuard (comercial), IPBan, evlWatcher. Yo uso Cyberarms IDDS. Este es simple, tiene una interfaz amigable (aunque requiere .NET Framework 4.0).

La idea es simple: IDS supervisa el registro de seguridad de su servidor para detectar eventos de falla de inicio de sesión sospechosos. Luego bloquea la dirección (es) IP, de donde vino el intento. También puede configurar un bloqueo duro cuando continúan los intentos de las IP bloqueadas por software.

Interfaz desconocida
fuente
0

¿Ocurrió que se cerró un controlador de dominio cuando esto sucedió? Esto se ve notablemente similar al escenario descrito en este artículo:

https://support.microsoft.com/en-us/kb/2683606

Cuando Windows ingresa al estado de apagado, debe indicar a los nuevos clientes que intentan autenticarse contra el DC que necesitan contactar a un DC diferente. Sin embargo, en algunos casos, el DC responderá al cliente que el usuario no existe. Esto provocará repetidas fallas de autenticación hasta que el controlador de dominio finalmente termine de cerrarse y el cliente se vea obligado a cambiar de DC.

La solución propuesta en este artículo es detener el servicio netlogon en el controlador de dominio antes de apagar el servidor. Esto hace que no esté disponible para las autenticaciones antes de que entre en el estado de apagado y obliga al cliente a encontrar un nuevo DC.

brassmaster
fuente
0

Este evento generalmente es causado por una credencial oculta obsoleta. Pruebe esto desde el sistema que da el error:

Desde un símbolo del sistema, ejecute: psexec -i -s -d cmd.exe
Desde la nueva ventana de cmd, ejecute: rundll32 keymgr.dll,KRShowKeyMgr

Elimine cualquier elemento que aparezca en la lista de nombres de usuario y contraseñas almacenados. Reinicia la computadora.

zea62
fuente
¿Te gustaría explicar qué hacen esos comandos?
jj_