Um filtro da Plataforma de Filtragem do Windows foi alterado - Compartilhamento de arquivos e impressoras

Question

Um filtro da Plataforma de Filtragem do Windows foi alterado - Compartilhamento de arquivos e impressoras

#1 resposta do (5 votos)

2

Meu servidor Windows 2008 R2 recebe toneladas de tentativas de login.
Eu acho que alguém está executando um ataque de força bruta. Engraçado que nosso arquivo de configuração do MySQL foi deletado ontem à noite, então eles devem ter entrado de alguma forma. Mas ao mesmo tempo, meu log de eventos é totalmente dessas mensagens:

A Windows Filtering Platform filter has been changed.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       NT AUTHORITY\LOCAL SERVICE

Process Information:
    Process ID: 1184

Provider Information:
    ID:     {decc16ca-3f33-4346-be1e-8fb4ae0f3d62}
    Name:       Microsoft Corporation

Change Information:
    Change Type:    Delete

Filter Information:
    ID:     {3798315c-c633-46ee-8421-89dab23673e9}
    Name:       File and Printer Sharing (Spooler Service - RPC-EPMAP)
    Type:       Not persistent
    Run-Time ID:    3444308

Layer Information:
    ID:     {e1cd9fe7-f4b5-4273-96c0-592e487b8650}
    Name:       ALE Receive/Accept v4 Layer
    Run-Time ID:    44

Callout Information:
    ID:     {00000000-0000-0000-0000-000000000000}
    Name:       -

Additional Information:
    Weight: 10378404878664860156    
    Conditions: 
    Condition ID:   {af043a0a-b34d-4f86-979c-c90371af6e66}
    Match value:    Equal to
    Condition value:    
O:SYG:SYD:(A;;CCRC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)


    Condition ID:   {0c1ba1af-5765-453f-af22-a8f791ac775b}
    Match value:    Equal to
    Condition value:    0x0087

    Condition ID:   {46ea1551-2255-492b-8019-aabeee349f40}
    Match value:    Equal to
    Condition value:    0x00000003

    Condition ID:   {ab3033c9-c0e3-4759-937d-5758c65d4ae3}
    Match value:    Equal to
    Condition value:    0x00000003

    Condition ID:   {3971ef2b-623e-4f9a-8cb1-6e79b806b9a7}
    Match value:    Equal to
    Condition value:    0x06

    Filter Action:  Permit

Minha empresa de hospedagem infelizmente não responde e não ajuda muito. A única resposta deles é mudar minha senha ... Alguém sabe o que eles significam e de onde eles vêm? Eu acho que é o Windows Firewall Rules. Mas isso é normal ou o que isso significa?

security windows-server-2008-r2 windows-firewall

por Remy 11.12.2013 / 19:28

1 resposta

Tags security windows-server-2008-r2 windows-firewall

Como fazer o fantoche para iniciar todos os serviços no final da execução do catálogo? É possível configurar um resolvedor DNS que ignore o TTL?

score 5 · Accepted Answer

Você tem um monte de coisas diferentes acontecendo na sua pergunta. Vou abordá-los separadamente.

Meu servidor do Windows Server 2008 R2 recebe toneladas de tentativas de login. Eu acho que alguém está executando um ataque de força bruta.

Como um conselho geral: não adivinhe. Conhecer. Sistemas de computadores são extremamente complexos. Um bom administrador de sistema deve começar identificando todos os sintomas, testando a repetibilidade, reunindo evidências e, em seguida, fazendo suposições razoáveis sobre qual é o problema subjacente. O método Guess and Check só funcionará se você tiver muita sorte.

Você deve verificar seu log de eventos e correlacionar as tentativas de login com as informações de IDS do provedor de upstream. Talvez seja um ataque de login de força bruta, talvez seja uma conta de serviço que teve sua senha alterada, talvez seja um aplicativo que não tem mais os direitos apropriados? Pode ser um monte de coisas.

Finalmente e mais importante - Por que o seu servidor está exposto à Internet Big Bad? Você realmente deve tê-lo por trás de um firewall ou VPN.

Engraçado que o nosso arquivo de configuração do MySQL foi deletado ontem à noite, então eles devem ter entrado de alguma forma.

Isso é engraçado, mas novamente, você tem certeza de que foi um intruso? Talvez você tenha apagado acidentalmente? Mais uma vez, não acho. Conhecer. Você está auditando o acesso a arquivos? Mudanças de propriedade? Você deve ter, pelo menos, uma ideia melhor do que seu arquivo de configuração foi alterado ou perdido de repente.

Plataforma de filtragem do Windows

Visite o MSDN para obter informações sobre Plataforma de filtragem do Windows :

WFP provides APIs so that you can participate in the filtering decisions that occur at several layers in the TCP/IP protocol stack. WFP also integrates and provides support for next-generation firewall features such as authenticated communication and dynamic firewall configuration that is based on an application's use of the Windows Sockets API. This capability is also known as an application-based policy.

Acredito que o exemplo que você postou é excluir o filtro PERMIT para o compartilhamento de arquivos e impressoras (Spooler Service - RPC-EPMAP). Se você fizer um pouco mais de leitura, você deve confirmar isso. Eu não acho que este evento em particular esteja relacionado a seus possíveis problemas de segurança (o que não significa que outros eventos da WFP não estejam!).

Seu servidor está comprometido?

Antes de tocar os alarmes, faça alguma investigação, envolva suas opções de suporte e confirme se o seu servidor realmente foi comprometido. Vá ler a questão canônica sobre o assunto para ajudá-lo no processo: Como eu lido com um servidor comprometido? . Boa sorte!