Id de evento 4625 sem IP de origem

Navegue suas respostas
8

Estamos usando um total de 7 edições padrão do Windows Server (2008/2012) R2 para ambientes de desenvolvimento e produção. No mês passado, nossos servidores foram comprometidos e encontramos muitos logs de tentativas com falha no visualizador de eventos do Windows. Nós tentamos o cyberarms IDDS, mas ele não provou ser bom antes.

Agora, reimprimimos todos os nossos servidores e renomeamos contas de Administrador / Convidado. E depois de configurar os servidores novamente, estamos usando este idds para detectar e bloquear indesejados endereços IP.

O IDDS está funcionando bem, mas ainda estamos recebendo 4625 eventos no visualizador de eventos sem nenhum endereço IP de origem. Como posso bloquear essas solicitações de endereços IP anônimos? 

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

UPDATE: Depois de verificar meus logs de firewall, acho que esses eventos do 4625 não estão relacionados ao Rdp, mas podem ser SSH ou qualquer outra tentativa com a qual eu não esteja familiarizado

    
por Alan 19.04.2015 / 12:01

4 respostas

6

O endereço IP para tentativas de RDP com falha é registrado aqui, mesmo com o NLA habilitado (nenhum ajuste é necessário) (testado no Server 2012 R2, não tenho certeza sobre outras versões)

Logs de aplicativos e serviços > Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / operacional (ID do evento 140)

Exemplo de texto registrado:

A connection from the client computer with an IP address of 108.166.xxx.xxx failed because the user name or password is not correct.

XML: 

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>
    
por 13.11.2016 / 12:48
3

Esta é uma limitação conhecida com o evento 4625 e conexões RDP usando TLS / SSL. Você precisará usar a criptografia RDP para as configurações do servidor de área de trabalho remota ou obter um produto IDS melhor.

    
por 19.04.2015 / 18:50
2

Você deve usar o Firewall do Windows interno e suas configurações de registro. Os logs informam os endereços IP de todas as tentativas de conexão de entrada. Desde que você mencionou que todos os seus servidores estão voltados para a Internet, realmente não há nenhuma desculpa para não usar o Firewall do Windows como parte de sua estratégia de defesa em profundidade. Eu recomendaria especificamente que não desligasse o NLA (autenticação em nível de rede), já que muitos dos ataques ao RDP foram historicamente mitigados pelo uso de NLA e afetaram somente hosts de sessão RDP executando o RDP clássico somente criptografia.

    
por 19.04.2015 / 19:05
1

Este evento geralmente é causado por uma credencial oculta obsoleta. Tente isso do sistema dando o erro:

Em um prompt de comando, execute: psexec -i -s -d cmd.exe
A partir da nova janela cmd, execute: rundll32 keymgr.dll,KRShowKeyMgr

Remova todos os itens que aparecem na lista de nomes de usuário e senhas armazenados. Reinicie o computador.

    
por 07.10.2015 / 22:41

Tags

O servidor Dell PowerEdge travou, como reparar? O que aconteceu? Informação dentro Janela inesperadamente encolhida