我不断收到事件 4625 消息,提示帐户无法使用不存在的用户名登录。诸如 SALES、USER、TEST、HELPDESK、SUPPORT、PROGRAMMER 等名称不是我们的用户,但我们每分钟收到 20 条左右的消息,提示这些帐户正在尝试登录。我只能得出这样的结论:这一定是暴力攻击。我已经确保 RDP 不可公开访问。我可以判断这些来自域外,因为 NTLM 正在阻止它,但是我无法将 IP 列入黑名单,因为事件消息中的网络信息为空白。在这种情况下我该怎么办?
帐户登录失败。
主题:安全 ID:NULL SID 帐户名称:- 帐户域:- 登录 ID:0x0
登录类型:3
登录失败的帐户:安全 ID:NULL SID 帐户名称:POSTERMINAL1 帐户域:
故障信息:故障原因:未知用户名或密码错误。状态:0xC000006D 子状态:0xC0000064
进程信息:调用者进程 ID:0x0 调用者进程名称:-
网络信息:工作站名称:
源网络地址:-源端口:-
答案1
只要您将 RDP 设置为与 TLS/SSL 和 NLA 协商安全性,这些信息就会被混淆。如果您将安全级别降低到仅 RDP 加密,您将在这些日志条目中获取更多信息。显然这不是理想的方法,因为这会削弱您的安全态势。
尝试查看此日志:Application and Service Logs > Microsoft > Windows> > RemoteDesktopServices-RdpCoreTS > Operational
查看是否有 140 事件(使用假名时生成)或 131 事件(失败但合法的名称)。这些事件的描述中应该有一个源 IP。
PureRDS 在今年早些时候对此进行了很好的描述:http://purerds.org/remote-desktop-security/auditing-remote-desktop-services-logon-failures-1/
答案2
开启NTLM身份验证审核,在日志“应用程序和服务日志\Microsoft\Windows\NTLM\Operational”中检查4776个失败,查看真正的来源。