无需 IP 追踪的暴力攻击

无需 IP 追踪的暴力攻击

我不断收到事件 4625 消息,提示帐户无法使用不存在的用户名登录。诸如 SALES、USER、TEST、HELPDESK、SUPPORT、PROGRAMMER 等名称不是我们的用户,但我们每分钟收到 20 条左右的消息,提示这些帐户正在尝试登录。我只能得出这样的结论:这一定是暴力攻击。我已经确保 RDP 不可公开访问。我可以判断这些来自域外,因为 NTLM 正在阻止它,但是我无法将 IP 列入黑名单,因为事件消息中的网络信息为空白。在这种情况下我该怎么办?

帐户登录失败。

主题:安全 ID:NULL SID 帐户名称:- 帐户域:- 登录 ID:0x0

登录类型:3

登录失败的帐户:安全 ID:NULL SID 帐户名称:POSTERMINAL1 帐户域:

故障信息:故障原因:未知用户名或密码错误。状态:0xC000006D 子状态:0xC0000064

进程信息:调用者进程 ID:0x0 调用者进程名称:-

网络信息:工作站名称:
源网络地址:-源端口:-

答案1

只要您将 RDP 设置为与 TLS/SSL 和 NLA 协商安全性,这些信息就会被混淆。如果您将安全级别降低到仅 RDP 加密,您将在这些日志条目中获取更多信息。显然这不是理想的方法,因为这会削弱您的安全态势。

尝试查看此日志:Application and Service Logs > Microsoft > Windows> > RemoteDesktopServices-RdpCoreTS > Operational

查看是否有 140 事件(使用假名时生成)或 131 事件(失败但合法的名称)。这些事件的描述中应该有一个源 IP。

PureRDS 在今年早些时候对此进行了很好的描述:http://purerds.org/remote-desktop-security/auditing-remote-desktop-services-logon-failures-1/

答案2

开启NTLM身份验证审核,在日志“应用程序和服务日志\Microsoft\Windows\NTLM\Operational”中检查4776个失败,查看真正的来源。

相关内容