У нас есть веб-сервер Windows Server 2016, который действует как сервер хостинга и принимает постоянные попытки входа в систему. К счастью, все они терпят неудачу, но это наполняет наш SIEM предупреждениями о повторных попытках входа в систему. На всех других наших серверах мы заблокировали порт RDP, чтобы к нему можно было получить доступ только с определенного набора IP-адресов. Это блокирует автоматические попытки входа в систему RDP, и журналы остаются тихими.
У проблемного сервера также есть порт RDP, ограниченный ограниченными IP-адресами, но у нас все еще есть постоянные неудачные попытки входа в систему. Каждая попытка входа в систему использует другой порт, поэтому брандмауэр не блокирует его. Я установил RDPGuard, который частично успешно блокирует IP-адреса, но я также заметил, что IP-адреса меняются для каждого запроса, поэтому это не так эффективно, как хотелось бы.
Мы не используем Active Directory. Учетная запись администратора отключена. Учетная запись пользователя имеет тенденцию почти всегда быть «администратором».
Ниже приведен пример записи в журнале:
Не удалось войти в учетную запись.
Тема: Идентификатор безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Идентификатор входа: 0x0
Тип входа: 3
Учетная запись, для которой не удалось войти в систему:
Идентификатор безопасности: NULL SID
Имя учетной записи: администратор
Домен учетной записи:
Информация об отказе:
Причина сбоя: неизвестное имя пользователя или неверный пароль.
Статус: 0xC000006D
Дополнительный статус: 0xC000006A
Обрабатывать информацию:
Идентификатор вызывающего процесса: 0x0
Имя процесса вызывающего абонента: -
Сетевая информация:
Имя рабочей станции: -
Исходный сетевой адрес: 180.248.230.58 <--- Это постоянно меняется
Исходный порт: 65149 <--- Это постоянно меняется
Подробная информация для аутентификации:
Процесс входа в систему: NtLmSsp
Пакет аутентификации: NTLM
Транзитные услуги: -
Имя пакета (только NTLM): -
Длина ключа: 0
Которая всегда сочетается со следующим событием:
Компьютер попытался проверить учетные данные для учетной записи.
Пакет аутентификации: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Вход в учетную запись: администратор
Исходная рабочая станция:
Код ошибки: 0xC000006A
Есть ли параметр конфигурации, разрешающий эти попытки входа в систему, который необходимо изменить?
Может ли помочь изменение брандмауэра на блокировку всех входящих портов (кроме белого списка портов, таких как 443, 80, 21 и т. Д.)?
Добро пожаловать в Интернет! Каждый раз, когда вы устанавливаете сервер с выходом в Интернет, вам очень повезет, если вы не подвергнетесь какой-либо атаке методом перебора в течение 20 минут. Существуют всевозможные боты, сканирующие все публичное пространство IP-адресов на предмет 1) различных уязвимостей и 2) слабых паролей в формах входа.
Реальное решение - настроить SIEM так, чтобы не жаловаться на повторяющиеся неудачные попытки входа в систему; это успешный вход из подозрительных мест, который должен вызывать оповещениявместо этого.
Процесс входа в систему: NtLmSsp
Это NT LAN Manager (NTLM) Провайдер поддержки безопасности. Он используется, например, HTTP-согласование аутентификации из IIS. Если это так, то эти атаки методом перебора, вероятно, направлены против вашего веб-сервера. Поскольку они проходят через порт HTTP 80 или порт HTTPS 443, блокировка всех других портов не остановит этого. По-прежнему разумно разрешать подключение только к портам, которые должны быть доступны из Интернета, но по другим причинам.
Каждая попытка входа в систему использует другой порт, поэтому брандмауэр не блокирует его.
Source Port: 65149<--- Это постоянно меняется
Эти источник ports: это TCP-порт, который используется для распознавания соединения на стороне клиента (RFC 793, 3.1). Все порты из 49152 к 65535 являются динамичный / частный / эфемерный порты, используемые для этой цели. Для более подробного объяснения см. RFC 6335, 6 & RFC 6056, 2.
Тип входа 3 - это попытка входа в сеть (файл, печать, IIS), но не попытка входа по протоколу RDP, а тип входа 10 (удаленный интерактивный вход).
Если это веб-сервер, вы мало что можете сделать. Смена портов не поможет. Любой сканер найдет веб-сайт (-ы) независимо от того, на каком порту (-ах) он запущен. Изменение исходного порта не составляет труда. Так работает протокол TCP / IP.
Я бы посоветовал полностью отключить RDP-доступ к серверу или разрешить его только с внутренних IP-адресов. Блокировка его только для определенных внешних IP-адресов - хороший шаг, но вы по-прежнему открываете сервер для публики и надеетесь, что брандмауэр выполнит свою работу. Доступ по протоколу RDP к серверу не является требованием по прямому назначению сервера, он необходим для вашего удобства. Я бы предположил, что устранение этого удобства ради большей безопасности - достойный компромисс.