Errori di controllo multipli 4625 su WS2012 R2

2

Sul nostro WS2012 R2, vedo più errori di controllo di accesso 4625. Qualsiasi cosa tra una volta ogni 5 minuti e 5 volte al minuto. I nomi utente che falliscono il tentativo di accesso cambiano frequentemente. Ma sembra che provenga da un elenco di nomi utente comunemente usati (Amministratore, Utente, Test, Vendite, Bob, Stagista, Amministratore2, BOARDROOM, BARBARA, ALAN, COPIER, BACKUP, XEROX, USER1, RECEPTION ecc.). Anche questi tentativi falliti sembrano continuare 24/7.

Dato che siamo una piccola azienda, sono sicuro che questi non sono tentativi legittimi e sono automatizzati.

Di seguito è riportato un registro di esempio della sicurezza dei registri di Windows.

Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID:        NULL SID
Account Name:       BOARDROOM
Account Domain:     
Failure Information:
Failure Reason:     Unknown user name or bad password.
Status:         0xC000006D
Sub Status:     0xC0000064
Process Information:
Caller Process ID:  0x0
Caller Process Name:    -
Network Information:
Workstation Name:   -
Source Network Address: -
Source Port:        -
Detailed Authentication Information:
Logon Process:      NtLmSsp 
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only):   -
Key Length:     0

Ho ragione di temere di essere hackerato? Come posso scoprire da dove provengono questi tentativi di accesso non riusciti e fermarli?

    
posta ftzortz 27.11.2017 - 14:20
fonte

1 risposta

0

Quindi, secondo alcune piccole ricerche su Internet, è molto probabile che ci sia un qualche tipo di attacco. In caso contrario, qualcuno deve aver commesso un errore enorme durante la configurazione di uno script di connessione.

Cosa impariamo dal tuo registro:

  • Qualcuno sta provando ad accedere al tuo server dall'esterno (tipo di accesso 3), tramite RDP.
  • I tentativi sono per ora, tutti i fallimenti (evento ID 4625)
  • Probabilmente è uno script, in base alla frequenza degli accessi non riusciti
  • Non hai alcuna informazione sul computer di origine che tenta di accedere al tuo server.

Perché non hai informazioni? Molto probabilmente a causa del RDP, che impedisce al tuo server di registrare tali informazioni.

Che cosa dovresti fare allora?

Prova a limitare l'accesso al tuo server tramite la whitelist. Permettere solo alla workstation di fiducia nella tua rete di accedere al server.

Inoltre, se non ne hai uno, alcuni IDS / IPS possono impedire tale tentativo.

Se non ti puoi permettere nessuna di queste soluzioni, dato che l'attacco sembra casuale e molto probabilmente basato su un elenco di "username e password più comunemente usati", cambiare alcuni nomi utente critici con quelli non convenzionali potrebbe ritardare o addirittura annullare l'attacco .

Inoltre, nel caso in cui uno dei tuoi account corrisponda a un nome utente verificato, una pratica comune è bloccare un account dopo che X ha fallito i test di autenticazione o generare una nuova password per esso. Da un lato si limita il rischio che lo script trovi il buon nome utente / password in coppia e lo sfrutti, d'altro canto, stai esponendo il tuo sistema alle interruzioni dell'amministrazione, avendo bloccato alcuni dei tuoi account importanti.

Tieni presente che si tratta solo di una soluzione alternativa , non si tratta di una soluzione duratura. Limitare l'accesso al tuo server sarebbe probabilmente il migliore.

    
risposta data 27.11.2017 - 15:07
fonte

Leggi altre domande sui tag