2 votes

M Musick avatar

Sources (protocols) for Audit Failures (Event ID 4625) in Windows Event Log Sources (protocoles) pour les échecs d'audit (ID d'événement 4625) dans le journal d'événements de Windows

Demandé el 29 de Décembre, 2017
Quand la question a-t-elle été
714 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai une machine virtuelle Windows Server 2016 accessible au public. Le port du bureau à distance a été changé par défaut à un nombre supérieur à 20 000.

Il n'y a rien d'intéressant hébergé sur cette VM. Je l'utilise simplement comme bac à sable pour le développement de logiciels.

Cependant, je reçois encore des échecs d'audit quotidiens (ID d'événement 4625) dans le journal des événements de Windows.

L'adresse IP source est généralement située en Europe (je suis aux États-Unis et aucun trafic utilisateur n'est attendu en provenance d'Europe ou d'ailleurs. Comme je l'ai mentionné ci-dessus, la VM n'héberge pas vraiment grand chose mais IIS est en cours d'exécution). Les noms d'utilisateur semblent provenir d'un type de dictionnaire de noms souvent utilisés, y compris les comptes par défaut de Windows comme Administrateur (qui est renommé sur ma VM)

Y a-t-il un moyen de savoir quel protocole ils utilisent? C'est-à-dire, est-ce le Bureau à distance ou cela pourrait-il être autre chose (essaient-ils d'accéder aux partages réseau? Je n'en ai créé aucun)? Je ne peux pas le dire en regardant le journal des événements.

Avant que je ne change le port par défaut du Bureau à distance au nombre supérieur à 20 000, je ne serais pas surpris que ce soit le Bureau à distance. Mais maintenant, je trouve cela difficile à croire. Est-ce que quelqu'un scannerait vraiment tous les ports jusqu'à 20 000 et plus juste pour trouver un port de Bureau à distance ouvert sur une adresse IP aléatoire?

Demandé el 29 de Décembre, 2017 par M Musick

Réponse

Trop de publicités?

2voto

Ryan Ries avatar
Ryan Ries Points 54671

Si vous voulez vraiment savoir, vous pouvez utiliser la stratégie d'audit avancée et activer l'audit pour le pare-feu Windows. Vous pouvez le configurer pour enregistrer les événements de sécurité chaque fois qu'une connexion est autorisée (et/ou refusée) à travers le pare-feu Windows.

Cela étant dit, vous ne devriez jamais mettre un hôte directement sur Internet sans savoir exactement quels ports pare-feu sont ouverts. Par exemple, vous devriez soit utiliser le pare-feu Windows, soit le pare-feu fourni par Azure Networking et vous assurer que seul votre port RDP personnalisé de numéro élevé est exposé. Ensuite, il n'y a aucun doute que chaque fois que quelqu'un accède à votre serveur, vous savez que le protocole doit être RDP car vous savez que c'est le seul port ouvert.

audit wfp

Si vous ne voulez pas activer l'audit du pare-feu Windows, vous pouvez également jeter un coup d'œil au journal des événements RemoteDesktopServices-RdpCoreTS. Il enregistre également les tentatives de connexion avec les adresses IP.

journal rdp

Et oui, les gens scanntent des hôtes sur Internet depuis le début de l'Internet. Juste pour voir ce qui se trouve là-bas.

Répondu el 29 de Décembre, 2017 par Ryan Ries (54671 Points )

0 votes

Avatar de M Musick

À ma surprise, la vérification du journal des événements RemoteDesktopServices-RdpCoreTS a confirmé que toutes les échecs d'audit étaient des tentatives de connexion RD infructueuses. Cela signifie-t-il qu'ils ont réellement essayé le bon port ? Ou une entrée serait-elle générée même si le mauvais (par défaut) port était utilisé ? De plus : le Pare-feu Windows est activé (bien sûr), mais mon hôte n'offre aucun pare-feu en dehors de cela (comme le font Amazon AWS ou Azure). Je vais examiner la Politique d'audit avancée (est-ce qu'elle enregistre également le numéro de port ?).

Commenté el 29 de Décembre, 2017 par M Musick

1 votes

Avatar de Ryan Ries

Oh, désolé d'avoir mentionné Azure alors - j'ai d'une manière ou d'une autre eu l'impression que vous utilisiez Azure IaaS. Quoi qu'il en soit, oui, ces événements dans le journal de bureau à distance indiquent que les malfaiteurs ont découvert votre port RDP personnalisé. :) Cela ne signifie pas pour autant qu'ils se sont authentifiés avec succès. Seulement qu'ils ont établi une connexion TCP. Utilisez donc uniquement des mots de passe très forts sur cette machine. :) De plus, oui, la journalisation des audits mentionne le numéro de port. J'ai ajouté une capture d'écran au message.

Commenté el 30 de Décembre, 2017 par Ryan Ries

0 votes

Avatar de Mister Lucky

Je comprends d'où tu viens. Mais réfléchis-y - scanner les ports TCP avec un processus multi-threadé peut être très rapide - cela prend quelques secondes. Et une grande partie de ce balayage est probablement effectuée par des machines infectées. Une fois le scan terminé, ils se retrouveront probablement avec seulement quelques ports. Et une fois qu'un port est déterminé comme ouvert, ils peuvent assez facilement comprendre ce que c'est - ou dans le pire des cas, tenter les protocoles les plus courants. Quels services les serveurs vont-ils probablement fournir? Ce sera probablement RDP, SSH et d'autres protocoles courants de gestion à distance, donc c'est probablement plus facile que ça en a l'air.

Commenté el 4 de Janvier, 2018 par Mister Lucky

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X