Я постоянно получаю сообщения о событии 4625, в которых говорится, что учетные записи не могут войти в систему с несуществующими именами пользователей. Такие имена, как: SALES, USER, TEST, HELPDESK, SUPPORT, PROGRAMMER, не являются нашими пользователями, но мы получаем около 20 сообщений каждую минуту о том, что такие учетные записи, как эти, пытаются войти в систему. Я могу только сделать вывод, что это должно быть атака грубой силой. Я уже убедился, что RDP НЕ общедоступен. Я могу сказать, что они поступают извне домена, потому что NTLM останавливает их, однако я не могу занести IP-адреса в черный список, потому что информация о сети в сообщениях о событиях пуста. Что мне делать в этой ситуации?
Не удалось войти в учетную запись.
Тема: Идентификатор безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Идентификатор входа: 0x0
Тип входа: 3
Учетная запись, для которой не удалось выполнить вход: ИД безопасности: NULL SID Имя учетной записи: POSTERMINAL1 Домен учетной записи:
Информация о сбое: Причина сбоя: Неизвестное имя пользователя или неверный пароль. Статус: 0xC000006D Дополнительный статус: 0xC0000064
Информация о процессе: Идентификатор процесса вызывающего абонента: 0x0 Имя процесса вызывающего абонента: -
Сетевая информация: Имя рабочей станции:
Исходный сетевой адрес: - Исходный порт: -
Включите аудит проверки подлинности NTLM и проверьте 4776 сбоев в журнале «Журналы приложений и служб \ Microsoft \ Windows \ NTLM \ Operational», чтобы увидеть реальный источник.
Эта информация будет обфусцирована, пока у вас установлен RDP для согласования безопасности с TLS / SSL и NLA. Если вы снизите уровень безопасности до простого шифрования RDP, вы получите больше информации в этих записях журнала. Очевидно, это не идеальный подход, поскольку он ослабляет вашу позицию безопасности.
Попробуйте посмотреть в этом журнале: Application and Service Logs > Microsoft > Windows> > RemoteDesktopServices-RdpCoreTS > Operational
Посмотрите, есть ли какие-либо 140 событий (сгенерированных при использовании поддельного имени) или 131 событие (неудачное, но допустимое имя). В описании должен быть указан IP-адрес источника.
Ранее в этом году у PureRDS была хорошая статья об этом: http://purerds.org/remote-desktop-security/auditing-remote-desktop-services-logon-failures-1/