没有源IP的事件ID 4625

我们总共使用7个Windows Server(2008/2012)R2标准版来开发和生产环境。 上个月我们的服务器被攻破,我们在windows事件查看器中发现许多失败的尝试日志。 我们尝试了cyberarms IDDS,但事实并非如此。

现在我们重新映像了所有服务器,并重命名为pipe理员/来宾帐户。 再次设置服务器后,我们正在使用这个idds来检测和阻止不需要的IP地址。

IDDS运行良好,但是我们仍然在没有任何源IP地址的事件查看器中获得4625个事件。 我怎样才能阻止来自匿名IP地址的这些请求?

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'> <System> <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/> <EventID>4625</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/> <EventRecordID>187035</EventRecordID> <Correlation/> <Execution ProcessID='24876' ThreadID='133888'/> <Channel>Security</Channel> <Computer>s17751123</Computer> <Security/> </System> <EventData> <Data Name='SubjectUserSid'>S-1-0-0</Data> <Data Name='SubjectUserName'>-</Data> <Data Name='SubjectDomainName'>-</Data> <Data Name='SubjectLogonId'>0x0</Data> <Data Name='TargetUserSid'>S-1-0-0</Data> <Data Name='TargetUserName'>aaron</Data> <Data Name='TargetDomainName'>\aaron</Data> <Data Name='Status'>0xc000006d</Data> <Data Name='FailureReason'>%%2313</Data> <Data Name='SubStatus'>0xc0000064</Data> <Data Name='LogonType'>3</Data> <Data Name='LogonProcessName'>NtLmSsp </Data> <Data Name='AuthenticationPackageName'>NTLM</Data> <Data Name='WorkstationName'>SSAWSTS01</Data> <Data Name='TransmittedServices'>-</Data> <Data Name='LmPackageName'>-</Data> <Data Name='KeyLength'>0</Data> <Data Name='ProcessId'>0x0</Data> <Data Name='ProcessName'>-</Data> <Data Name='IpAddress'>-</Data> <Data Name='IpPort'>-</Data> </EventData> </Event> 

更新:检查我的防火墙日志后,我认为这些4625事件与Rdp无关,但可能是SSH或任何其他我不熟悉的尝试

IP地址失败的RDP尝试logging在这里,即使启用NLA(不需要调整)(在Server 2012 R2上testing,不确定其他版本)

应用程序和服务日志> Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / Operational(Event ID 140)

logging文本示例:

客户端计算机与IP地址108.166.xxx.xxx的连接失败,因为用户名或密码不正确。

XML:

 - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> <EventID>140</EventID> <Version>0</Version> <Level>3</Level> <Task>4</Task> <Opcode>14</Opcode> <Keywords>0x4000000000000000</Keywords> <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> <EventRecordID>1683867</EventRecordID> <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> <Execution ProcessID="2920" ThreadID="4104" /> <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> <Computer>SERVER</Computer> <Security UserID="S-1-5-20" /> </System> - <EventData> <Data Name="IPString">108.166.xxx.xxx</Data> </EventData> </Event> 

这是4625事件和使用TLS / SSL的RDP连接的已知限制。 您将需要为远程桌面服务器设置使用RDPencryption,或者获得更好的IDS产品。

您应该使用内置的Windows防火墙及其日志logging设置。 日志会告诉你所有传入的连接尝试的IP地址。 既然你提到所有的服务器都是面向互联网的,那么就没有理由不把Windows防火墙作为你的防御策略的一部分。 我特别build议不要closuresNLA(networking级authentication),因为过去许多对RDP的攻击历来都是通过使用NLA来缓解的,而且只受影响的RDP会话主机只运行经典的RDPencryption。

Windows防火墙日志记录

这个事件通常是由一个陈旧的隐藏证书造成的。 尝试从系统给出这个错误:

从命令提示符处运行: psexec -i -s -d cmd.exe
从新的cmd窗口运行: rundll32 keymgr.dll,KRShowKeyMgr

删除存储的用户名和密码列表中出现的任何项目。 重新启动计算机。