Источники (протоколы) для ошибок аудита (идентификатор события 4625) в журнале событий Windows
У меня есть общедоступная виртуальная машина Windows Server 2016. Порт удаленного рабочего стола был изменен со значения по умолчанию на более 20 000.
На этой виртуальной машине нет ничего интересного. Я просто использую его как испытательный стенд для разработки программного обеспечения.
Однако я все еще получаю ежедневные сбои аудита (идентификатор события 4625) в журнале событий Windows.
Исходный сетевой адрес обычно находится в Европе (я нахожусь в США, и пользовательский трафик из Европы или где-либо еще не ожидается. Как я уже упоминал выше, виртуальная машина на самом деле ничего не размещает, но на ней работает IIS). Имена пользователей выглядят так, как будто они взяты из какого-то словаря часто используемых имен, включая учетные записи Windows по умолчанию, такие как администратор (который переименован на моей виртуальной машине)
Есть ли способ узнать, какой протокол они используют? То есть это удаленный рабочий стол или это может быть что-то еще (они пытаются просматривать сетевые ресурсы? Я их не создавал)? Я не могу сказать, глядя на журнал событий.
До того, как я изменил порт удаленного рабочего стола по умолчанию на число в диапазоне 20 000 с лишним, я не удивился бы, если бы это был удаленный рабочий стол. Но теперь мне трудно поверить. Может ли кто-нибудь просканировать все порты до 20 000 и выше только для того, чтобы найти открытый порт удаленного рабочего стола на случайном IP-адресе?
Если вы действительно хотите знать, вы можете использовать Политика расширенного аудита и включите аудит для брандмауэра Windows. Вы можете настроить его на регистрацию событий безопасности каждый раз, когда подключение разрешено (и / или запрещено) через брандмауэр Windows.
При этом вы никогда не должны размещать какой-либо хост непосредственно в Интернете, не зная точно, какие порты брандмауэра открыты. Например, вы должны использовать брандмауэр Windows или брандмауэр, предоставленный вам сетью Azure, и следить за тем, чтобы только Ваш пользовательский порт RDP с высоким номером открыт. Тогда нет никаких сомнений в том, что всякий раз, когда кто-то попадает на ваш сервер, вы знаете, что протокол должен быть RDP, потому что вы знаете, что это единственный открытый порт.
Если вы не хотите включать аудит брандмауэра Windows, вы также можете взглянуть на журнал событий RemoteDesktopServices-RdpCoreTS. Он также регистрирует попытки подключения с IP-адресами.
И да, люди сканируют хосты в Интернете с тех пор, как появился Интернет. Просто чтобы посмотреть, что там.