Вопрос или проблема
У меня есть выделенный сервер с экземпляром Windows Server 2012, работающим у провайдера, который обслуживает небольшое приложение, необходимое для нашего бизнеса. В Просмотрщике событий я вижу постоянные попытки в журналах безопасности типа 4625, что является неудачной попыткой входа. Также значение поля “WorkstationName” часто меняется. XML события ниже:
Я немного разбираюсь в ПК, но не знаю, как остановить это. Довольно очевидно, что это просто скрипт, который пытается взломать его методом перебора, но он не исходит из IP-адреса? Атака исходит с рабочего места внутри самого провайдера? Есть ли способ заблокировать такие попытки?
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{4783962C-5672-4994-E3BA-3E3B0326720D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2024-11-20T20:28:39.873662500Z" />
<EventRecordID>119811550</EventRecordID>
<Correlation />
<Execution ProcessID="580" ThreadID="2676" />
<Channel>Security</Channel>
<Computer>(мой сайт здесь, скажем "mysite.org.us" для демонстрационных целей)</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">Admin</Data>
<Data Name="TargetDomainName">(мой целевой домен здесь, скажем "mysite")</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp</Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">WIN-(имя-рабочей-станции-нападающего)</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
Я не знаю, как действовать, я могу внедрить политики и т.д. (административные права на ПК, вход через RDP), но не знаю, с чего начать. Если бы это было на основе IP, я знал бы, что можно заблокировать через брандмауэр по IP, но это странно для меня.
Ответ или решение
Обзор проблемы
Вы столкнулись с событием 4625 «Неудачная попытка входа» в системе Windows Server 2012, которое, судя по всему, связано с постоянными попытками несанкционированного доступа к вашей учетной записи администратора. При этом наблюдается изменяющееся значение поля WorkstationName, что может указывать на возможное распределенное или скриптовое осуществление атак, в том числе через рабочие станции в пределах вашей провайдерской сети.
Анализ событий
Содержание события 4625
Это событие создается, когда неудачная попытка входа с использованием учетной записи происходит в системе. В вашем случае:
- TargetUserName:
Admin— это имя пользователя, к которому осуществляется попытка доступа. - Status:
0xc000006dуказывает на неверные учетные данные. - SubStatus:
0xc0000064указывает, что имя пользователя не существует или не было найдено. - LogonType:
3указывает на удаленный доступ (например, RDP). - IpAddress: не указано, что может означать, что инициатор атаки не предоставляет этот информацию или использует резидентные IP адреса.
Возможные источники атаки
Изменение имени рабочей станции подразумевает, что атака может происходить из разных источников, а не с фиксированного IP адреса. Это может свидетельствовать о том, что атака осуществляется с использованием:
- Скриптов для перебора паролей, которые могут генерировать различные имена для каждого запроса.
- Внутренней сети провайдера или других пользователей, имеющих доступ к вашему серверу.
Шаги для устранения проблемы
-
Ограничение доступа к серверу:
- Настройте Firewall для ограничения доступных IP-адресов, если у вас есть информация о легитимных IP-адресах.
- Используйте групповые политики для фильтрации доступа по IP-адресам или диапазонам, если это возможно.
- Рассмотрите возможность ограничения доступов по IP на уровне сетевых интерфейсов.
-
Настройка политики безопасности:
- Измените политику локального пароля, увеличив его сложность.
- Установите ограничение на количество неверных попыток входа в учетные записи через политику групповых объектов (GPO).
- Включите учет аудита, чтобы фиксировать все входящие подключения и их успех.
-
Использование средств мониторинга:
- Настройте журнал событий безопасности и системы для мониторинга подозрительных действий.
- Внедрите инструменты, такие как Syslog, или системы мониторинга, которые могут уведомлять вас о несанкционированных попытках доступа.
-
Вооружение вашей системы:
- Убедитесь, что все обновления системы и службы безопасности актуальны, чтобы уменьшить возможность атак через известные уязвимости.
- Рассмотрите использование многофакторной аутентификации (MFA) для дополнительной защиты.
-
Работа с провайдером:
- Свяжитесь с вашим интернет-провайдером (ISP) для получения информации по получаемым попыткам входа и узнайте, могут ли они помочь в блокировке атак.
Заключение
Ваша ситуация требует внимательного анализа и применения нескольких уровней защитных мер. Хотя использующиеся вами технологии и модели системы обеспечивают базовую защиту, важно понимать, что адаптация к новым угрозам — это постоянный процесс. Используя вышеуказанные шаги, вы можете значительно улучшить безопасность вашего сервера и защитить ваши данные от возможных несанкционированных доступов.