更改埠的事件查看器中的持續登錄失敗
我們有一個 Windows Server 2016 網路伺服器,它充當託管伺服器並接收不斷的登錄嘗試。幸運的是,它們都失敗了,但它使我們的 SIEM 充滿了重複登錄嘗試的警報。在我們所有其他伺服器上,我們鎖定了 RDP 埠,以便只能從一組選定的 IP 地址訪問它。這會阻止自動 RDP 登錄嘗試,並且日誌是安靜的。
麻煩的伺服器也將 RDP 埠限制在有限的 IP 地址範圍內,但我們仍然有不斷失敗的登錄嘗試。每次登錄嘗試都使用不同的埠,這就是防火牆不阻止它的原因。我已經安裝了 RDPGuard,它在阻止 IP 地址方面部分成功,但我也注意到每個請求的 IP 地址都在輪換,所以它沒有我想要的那麼有效。
我們不使用 Active Directory。管理員帳戶被禁用。使用者帳戶往往幾乎總是“管理員”。
日誌條目的範例如下:
帳戶無法登錄。
主題:安全 ID:NULL SID
帳戶名稱: -
帳戶域:-
登錄 ID:0x0
登錄類型:3
登錄失敗的帳戶:
安全 ID:空 SID
賬戶名稱:管理員
帳戶域:
故障資訊:
失敗原因:未知使用者名或密碼錯誤。
狀態:0xC000006D
子狀態:0xC000006A
處理資訊:
呼叫方程序 ID:0x0
呼叫者程序名稱:-
網路資訊:
工作站名稱:-
源網路地址:180.248.230.58 <— 這一直在變化
源埠:65149 <— 這一直在變化
詳細的認證資訊:
登錄過程:NtLmSsp
身份驗證包:NTLM
過境服務:-
包名稱(僅限 NTLM):-
密鑰長度:0
它總是與以下事件配對:
電腦嘗試驗證帳戶的憑據。
認證包:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登錄賬號:管理員
源工作站:
錯誤程式碼:0xC000006A
是否存在允許這些需要更改的登錄嘗試的配置設置?
更改防火牆以阻止所有傳入埠(443、80、21 等埠白名單除外)有幫助嗎?
歡迎來到網際網路!每當您將伺服器面向 Internet 時,如果您在 20 分鐘內沒有受到某種暴力攻擊,您將非常幸運。有各種各樣的機器人掃描整個公共 IP 地址空間,以查找 1) 各種漏洞和 2) 登錄表單中的弱密碼。
真正的解決方案是調整您的 SIEM,不要抱怨重複登錄嘗試失敗;而是從可疑位置成功登錄應該引發警報。
登錄過程:NtLmSsp
這是NT LAN Manager (NTLM)安全支持提供程序。例如,來自 IIS的*HTTP 協商身份驗證使用它。*如果是這樣,這些蠻力攻擊可能是針對您的 Web 伺服器的。由於它們是通過 HTTP 埠 80 或 HTTPS 埠 443 來的,因此阻止所有其他埠不會阻止這種情況。只允許連接到應該可以從 Internet 訪問的埠仍然是合理的,但出於其他原因。
每次登錄嘗試都使用不同的埠,這就是防火牆不阻止它的原因。
Source Port: 65149
<— 這一直在變化這些是源埠:它是用於區分客戶端連接的 TCP 埠(RFC 793、3.1)。
49152
從to 到的所有埠65535
都是用於此目的的動態/私有/*臨時埠。*有關更詳盡的解釋,請參閱RFC 6335, 6和RFC 6056, 2。