소스 IP가없는 이벤트 ID 4625

10

개발 및 프로덕션 환경에 총 7 개의 Windows Server (2008/2012) R2 Standard Edition을 사용하고 있습니다. 지난 달에 서버가 손상되어 Windows 이벤트 뷰어에서 많은 실패한 시도 로그가 발견되었습니다. 우리는 사이버 암스 IDDS를 시도했지만 초기에는 그다지 좋지 않았습니다.

이제 모든 서버의 이미지를 다시 만들고 관리자 / 게스트 계정의 이름을 변경했습니다. 그리고 서버를 다시 설정 한 후이 ID 를 사용하여 원치 않는 IP 주소를 감지하고 차단합니다.

IDDS가 제대로 작동하지만 여전히 소스 IP 주소가없는 이벤트 뷰어에서 4625 개의 이벤트가 발생합니다. 익명의 IP 주소에서 이러한 요청을 어떻게 차단할 수 있습니까?

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

업데이트 : 방화벽 로그를 확인한 후이 4625 이벤트가 Rdp와 관련이 없다고 생각하지만 SSH 또는 내가 익숙하지 않은 다른 시도 일 수 있습니다

windows-server-2008-r2  windows-server-2012-r2 
앨런
소스
워크 스테이션 이름이있는 경우 왜 IP 주소가 필요합니까?
Greg Askew
이 워크 스테이션 이름은 당사의 서버 / PC에 할당되지 않았습니다. 누군가 WorkstationName에서 IP 주소를 얻을 수 있다고 생각하지 않습니까?
Alan
서버가 인터넷에 연결되어 있지 않으면 이름이 같은 워크 스테이션이있는 것 같습니다. 이 답변 참조 : serverfault.com/a/403638/20701
Greg Askew
모든 서버는 인터넷에 연결되어 있으므로 위에서 언급 한 것처럼 rdp는 NTLMv2로 보호됩니다. 또한 rdp 공격이 실패한 후 IP 주소가 차단되는 것을 볼 수 있지만 eventveiwer의 일부 로그에는 IP 주소가 없으며 관련이 있습니다. 우리가 사용하는 idd는 다른 4625 공격과 별도로 실패한 Rdp 공격을 보여줍니다
Alan
답변은 여기에 있습니다 : serverfault.com/a/403638/242249
Spongman

답변:

8

실패한 RDP 시도에 대한 IP 주소는 NLA를 사용하도록 설정 한 경우에도 여기에 기록됩니다 (비 조정 필요 없음) (Server 2012 R2에서 테스트되었지만 다른 버전에 대해서는 확실하지 않음)

응용 프로그램 및 서비스 로그> Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / Operational (이벤트 ID 140)

기록 된 텍스트 예 :

사용자 이름 또는 비밀번호가 올바르지 않아 클라이언트 컴퓨터에서 IP 주소가 108.166.xxx.xxx 인 연결에 실패했습니다.

XML :

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>
보안관 6241
소스
감사합니다. 또한 동일한 로그가 NLA (이벤트 ID 131)를 사용하여 RDP를 통해 성공적인 로그온 이벤트 의 IP를 캡처 함을 확인할 수 있습니다.
Trix
아아, 아니 사용자 이름 ???
jjxtra
3

이는 TLS / SSL을 사용한 4625 이벤트 및 RDP 연결의 알려진 제한 사항입니다. 원격 데스크톱 서버 설정에 RDP 암호화를 사용하거나 더 나은 IDS 제품을 가져와야합니다.

그렉 비 스케
소스
우리는 이미 암호화와 함께 Rdp를 사용하고 있으며 사이버 암과 syspeace를 이미 사용해 보았습니다.
Alan
2

기본 제공 Windows 방화벽 및 해당 로깅 설정을 사용해야합니다. 로그는 모든 들어오는 연결 시도의 IP 주소를 알려줍니다. 모든 서버가 인터넷에 연결되어 있다고 언급 했으므로 심층 방어 전략의 일환으로 Windows 방화벽을 사용 하지 않을 이유가 없습니다. 과거에 RDP에 대한 많은 공격이 NLA를 사용하여 완화되어 클래식 RDP 암호화 만 실행하는 RDP 세션 호스트에만 영향을 미치기 때문에 NLA (네트워크 수준 인증)를 끄지 않는 것이 좋습니다 .

Windows 방화벽 로깅

라이언 리 이스
소스
Windows 방화벽에는 로깅 기능이 설정되어 있으며 RDP는 네트워크 수준 인증에서만 사용할 수 있으므로 이미 언급 한 내용을 이미 수행하고 있으므로 전혀 도움이되지 않습니다.
Alan
이 로그는 포트 3389에 누가 연결하고 있는지와 100 %의 IP 주소를 알려줍니다. 그런 다음 해당 IP 주소를 Windows 방화벽의 블랙리스트에 추가 할 수 있습니다. 더 필요한 게 있으신가요?
Ryan Ries
@EvanAnderson에서 ts_block을 살펴보십시오 : github.com/EvanAnderson/ts_block
Ryan Ries
로그를 확인한 후 지금까지 차단할 수있는 포트에서 IP를 찾지 못했지만 다음과 같은 다른 TCP 포트에서 서버에 액세스하려는 IP 주소가 있습니다. fe80 :: 586d : 5f1f : 165 : ac2d 포트 번호 5355 이 4625 이벤트가 Rdp 요청에서 생성되지 않았다고 생각하지 않습니다. SSH 또는 다른 시도 일 수 있습니다.
Alan
기본 포트를 변경하고 불필요한 포트를 차단했습니다
Alan
1

이 이벤트는 일반적으로 오래된 숨겨진 자격 증명으로 인해 발생합니다. 오류가 발생하는 시스템에서 이것을 시도하십시오.

명령 프롬프트에서 다음을 수행하십시오. psexec -i -s -d cmd.exe
새 cmd 창에서 다음을 실행하십시오. rundll32 keymgr.dll,KRShowKeyMgr

저장된 사용자 이름 및 비밀번호 목록에 나타나는 모든 항목을 제거하십시오. 컴퓨터를 다시 시작하십시오.

zea62
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.