安全日志事件 ID 4625 - 每隔几分钟就会有一个帐户登录失败 - 随机源 IP 地址

安全日志事件 ID 4625 - 每隔几分钟就会有一个帐户登录失败 - 随机源 IP 地址

一个相当新的 MS Windows Server 2019 VM 安装每天都会记录超过一百个安全日志审核失败,事件 ID 为 4625。

通过 Draytek 防火墙,服务器的 RDP 仅针对单个受信任的 WAN 源 IP 启用。

该服务器托管 2 个本地应用程序和一个内部部署 Exchange Server。PDC 是同一物理裸机 Hyper-V Core 主机上的另一个 VM。

尽管工作站名称“工作站”出现的频率相当高,但帐户名称、源 IP 地址和工作站名称似乎相当随机。

示例日志条目如下:

An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       Hp
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   workstation
    Source Network Address: 40.117.34.82
    Source Port:        0

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

所以我立即想到的是:

  1. 我认为从 Win Server 2008 开始 NTLM 默认是被禁用的?
  2. 在这种情况下,我认为事实并非如此,对吗?
  3. 我应该禁用它吗?如果禁用,应该在哪里禁用?
  4. 禁用它会破坏任何东西吗?如果应用程序崩溃,只要它能让服务器更安全就没问题。我可以让应用程序开发人员增强应用程序。我担心通过 TeamViewer 失去远程管理员访问权限,Exchange 邮件服务器崩溃。

我现在有点害怕,因为我们刚刚安装了这台服务器来替换受到勒索软件攻击的旧 Windows Server 2011。

我听说过使用 IPBan 之类的程序,但这似乎只有在尝试来自同一 IP 时才有意义。在这种情况下,它们似乎来自随机地址。

我是否正确地认为,为 Exchange Server 打开必要的端口 (80,443,587) 是这些来自 WAN IP 的尝试到达服务器的唯一原因?我能做些什么来阻止这些登录尝试到达服务器,或者这是运行 Exchange 服务器时预期的入侵级别?

答案1

我是否正确地认为,为 Exchange 服务器 (80,443,587) 打开必要的端口是这些来自 WAN IP 的尝试能够到达服务器的唯一原因?

是的。如果您从互联网到 Exchange 服务器的这些端口都打开了,那么这就是我所期望的。

我可以做些什么来阻止这些登录尝试到达服务器,或者这是运行 Exchange 服务器时预期的入侵级别吗?

如果您不希望这些登录尝试到达服务器,那么就不要打开从互联网到服务器的这些端口。当然,这会使合法用户无法访问服务器上的邮箱。如果您希望合法用户可以从互联网访问服务器,那么您就必须忍受这一点。IDS/IPS 可能有助于阻止一些非法尝试,但可能无法消除所有尝试。

答案2

认为 NTLM 自 Win Server 2008 起默认被禁用

NTLMV1 协议和 LM 哈希均被禁用。

我能做些什么来阻止这些登录尝试到达服务器?

您不想禁止身份验证尝试到达服务器。

我是否正确地认为,为 Exchange 服务器 (80,443,587) 打开必要的端口是这些来自 WAN IP 的尝试能够到达服务器的唯一原因?

端口 587 用于此类经过身份验证的流量。(质询/响应不是 Exchange Server 可以处理的唯一类型的身份验证)。如果您不使用 POP 或 IMAP,您可能能够关闭此端口,这样您将收到更少的 NTLMSSP 身份验证请求。

如果您不将 NTLMV2 服务用于其他用途,也可以将其禁用。如果您已正确设置 Kerebos 以进行内部身份验证,并且没有其他使用质询/响应身份验证的应用程序。这不会停止 TCP 连接,但可能会阻止它们被识别为身份验证请求。有一些差异,因此您可能会注意到一些工作方式不一样

现在建议对 Exchange 365 禁用 SMTP_AUTH——使用其他形式的客户端身份验证。这意味着禁用端口 587。在 Exchange Server 上,“关闭 SMTP_AUTH”意味着“允许未经身份验证的 SMTP 流量”,除非您知道自己在做什么,否则您不会想要这样做。

答案3

同意 joeqwerty 上面所说的,根据您上面提供的错误信息,我发现这个问题可能是由于用户登录时拼写错误或用户账户错误造成的。更多详细信息:4625(F):帐户登录失败。事件 ID 为 4625 的安全事件不包含运行 Windows Vista、Windows Server 2008、Windows 7 或 Windows Server 2008 R2 的计算机上的用户帐户名

此外,我认为您可以在Windows服务器论坛上发布您的问题将是一个更好的选择,您可以得到更准确的答复。

相关内容