我得到不断的事件4625消息说,帐户无法login不存在的用户名。 像SALES,USER,TEST,HELPDESK,SUPPORT,PROGRAMMER这样的名字不是我们的用户,但是我们每分钟都会收到20条左右的消息,说这些帐户正在尝试login。我只能得出这样的结论:蛮力攻击。 我已经确定RDP不能公开访问。 我可以告诉这些来自域外,因为NTLM正在阻止它,但是我不能将IP列入黑名单,因为networking信息在事件消息中是空白的。 在这种情况下我应该怎么做?
帐户login失败。
主题:安全ID:NULL SID帐户名称: – 帐户域: – loginID:0x0
logintypes:3
帐户login失败:安全ID:NULL SID帐户名称:POSTERMINAL1帐户域:
失败信息:失败原因:未知的用户名或错误的密码。 状态:0xC000006D子状态:0xC0000064
进程信息:调用者进程ID:0x0调用者进程名称: –
networking信息:工作站名称:
源networking地址: – 源端口: –
只要您将RDP设置为与TLS / SSL和NLA协商安全性,此信息就会被混淆。 如果您将安全级别降低到仅RDPencryption,您将在这些日志条目中获取更多信息。 显然不是一个理想的方法,因为这会削弱你的安全状态。
尝试查看此日志: Application and Service Logs > Microsoft > Windows> > RemoteDesktopServices-RdpCoreTS > Operational
查看是否有140个事件(使用假名称时生成)或131个事件(失败但是合法的名称)。 说明中应包含来源IP。
PureRDS在今年早些时候对此有一个很好的说明: http ://purerds.org/remote-desktop-security/auditing-remote-desktop-services-logon-failures-1/
打开NTLM身份validation审核,并在日志“应用程序和服务日志\ Microsoft \ Windows \ NTLM \ Operational”中检查4776故障以查看实际来源。