Fontes (protocolos) para falhas de auditoria (identificação de evento 4625) no log de eventos do Windows

Question

Fontes (protocolos) para falhas de auditoria (identificação de evento 4625) no log de eventos do Windows

#1 resposta do (2 votos)

2

Tenho uma máquina virtual do Windows Server 2016 voltada para o público. A porta da área de trabalho remota foi alterada do padrão para um número acima de 20.000.

Não há nada de interesse hospedado nesta VM. Eu só uso como uma cama de teste para desenvolvimento de software.

No entanto, ainda recebo falhas de auditoria diárias (identificação de evento 4625) no log de eventos do Windows.

O endereço de rede de origem é geralmente na Europa (estou nos EUA e não se espera tráfego de usuários da Europa ou de qualquer lugar. Como mencionei acima, a VM não hospeda nada, mas o IIS está em execução). Os nomes de usuários parecem estar vindo de algum tipo de dicionário de nomes usados frequentemente, incluindo contas padrão do Windows, como Administrador (que é renomeado na minha VM)

Existe uma maneira de dizer qual protocolo eles estão usando? Ou seja, esta área de trabalho remota ou isso pode ser outra coisa (eles estão tentando procurar compartilhamentos de rede? Eu não criei nenhum)? Eu não posso dizer de olhar no Event Log.

Antes de alterar a porta padrão da Área de Trabalho Remota para o número em mais de 20.000, não ficaria surpreso se essa fosse a Área de Trabalho Remota. Mas agora acho difícil acreditar. Alguém realmente verificaria todas as portas até 20.000 e acima apenas para encontrar uma porta aberta da Área de Trabalho Remota em um endereço IP aleatório?

windows security windows-server-2016 windows-event-log

por Joe Schmoe 29.12.2017 / 19:56

1 resposta

Tags windows security windows-server-2016 windows-event-log

Erro de uWSGI simples: uwsgi_response_write_body_do () TIMEOUT Velocidade IO horrível na máquina Hyper V em comparação com o host

score 2 · Accepted Answer

Se você realmente quiser saber, use a Política de auditoria avançada e habilite a auditoria para o Firewall do Windows. Você pode configurá-lo para registrar eventos de segurança toda vez que uma conexão for permitida (e / ou negada) através do firewall do Windows.

Dito isto, você nunca deve colocar qualquer host diretamente na Internet sem saber exatamente quais portas de firewall estão abertas. Por exemplo, você deve usar o firewall do Windows ou o firewall fornecido pela rede do Azure e fazer com que somente sua porta RDP personalizada com numeração alta seja exposta. Então não há dúvida de que sempre que alguém acessa seu servidor, você sabe que o protocolo tem que ser RDP porque você sabe que é a única porta que está aberta.

SevocênãoquiserativaraauditoriadofirewalldoWindows,tambémpoderádarumaolhadanologdeeventosRemoteDesktopServices-RdpCoreTS.TambémregistratentativasdeconexãocomendereçosIP.

E sim, as pessoas têm varrido os anfitriões na Internet desde que haja uma internet. Só para ver o que há lá fora.