Security

更改埠的事件查看器中的持續登錄失敗

  • November 30, 2020

我們有一個 Windows Server 2016 網路伺服器,它充當託管伺服器並接收不斷的登錄嘗試。幸運的是,它們都失敗了,但它使我們的 SIEM 充滿了重複登錄嘗試的警報。在我們所有其他伺服器上,我們鎖定了 RDP 埠,以便只能從一組選定的 IP 地址訪問它。這會阻止自動 RDP 登錄嘗試,並且日誌是安靜的。

麻煩的伺服器也將 RDP 埠限制在有限的 IP 地址範圍內,但我們仍然有不斷失敗的登錄嘗試。每次登錄嘗試都使用不同的埠,這就是防火牆不阻止它的原因。我已經安裝了 RDPGuard,它在阻止 IP 地址方面部分成功,但我也注意到每個請求的 IP 地址都在輪換,所以它沒有我想要的那麼有效。

我們不使用 Active Directory。管理員帳戶被禁用。使用者帳戶往往幾乎總是“管理員”。

日誌條目的範例如下:

帳戶無法登錄。

主題:安全 ID:NULL SID

帳戶名稱: -

帳戶域:-

登錄 ID:0x0

登錄類型:3

登錄失敗的帳戶:

安全 ID:空 SID

賬戶名稱:管理員

帳戶域:

故障資訊:

失敗原因:未知使用者名或密碼錯誤。

狀態:0xC000006D

子狀態:0xC000006A

處理資訊:

呼叫方程序 ID:0x0

呼叫者程序名稱:-

網路資訊:

工作站名稱:-

源網路地址:180.248.230.58 <— 這一直在變化

源埠:65149 <— 這一直在變化

詳細的認證資訊:

登錄過程:NtLmSsp

身份驗證包:NTLM

過境服務:-

包名稱(僅限 NTLM):-

密鑰長度:0

它總是與以下事件配對:

電腦嘗試驗證帳戶的憑據。

認證包:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

登錄賬號:管理員

源工作站:

錯誤程式碼:0xC000006A

是否存在允許這些需要更改的登錄嘗試的配置設置?

更改防火牆以阻止所有傳入埠(443、80、21 等埠白名單除外)有幫助嗎?

歡迎來到網際網路!每當您將伺服器面向 Internet 時,如果您在 20 分鐘內沒有受到某種暴力攻擊,您將非常幸運。有各種各樣的機器人掃描整個公共 IP 地址空間,以查找 1) 各種漏洞和 2) 登錄表單中的弱密碼。

真正的解決方案是調整您的 SIEM,不要抱怨重複登錄嘗試失敗;而是從可疑位置成功登錄應該引發警報

登錄過程:NtLmSsp

這是NT LAN Manager (NTLM)安全支持提供程序。例如,來自 IIS的*HTTP 協商身份驗證使用它。*如果是這樣,這些蠻力攻擊可能是針對您的 Web 伺服器的。由於它們是通過 HTTP 埠 80 或 HTTPS 埠 443 來的,因此阻止所有其他埠不會阻止這種情況。只允許連接到應該可以從 Internet 訪問的埠仍然是合理的,但出於其他原因。

每次登錄嘗試都使用不同的埠,這就是防火牆不阻止它的原因。

Source Port: 65149<— 這一直在變化

這些是埠:它是用於區分客戶端連接的 TCP 埠(RFC 793、3.1)。49152從to 到的所有埠65535都是用於此目的的動態/私有/*臨時埠。*有關更詳盡的解釋,請參閱RFC 6335, 6RFC 6056, 2

引用自:https://serverfault.com/questions/1019521