Múltiples fallos de auditoría 4625 en WS2012 R2

Navega tus respuestas
2

En nuestro WS2012 R2, veo varias fallas en la auditoría de inicio de sesión de 4625. Cualquier cosa entre una vez cada 5 minutos a 5 veces por minuto. Los nombres de usuario que fallan en el intento de inicio de sesión cambian con frecuencia. Pero parece ser de una lista de nombres de usuario comúnmente utilizados (Administrador, Usuario, Prueba, Ventas, Bob, Interno, Admin2, SALA DE JUNTAS, BARBARA, ALAN, COPIADORA, RESPALDO, XEROX, USUARIO1, RECEPCIÓN, etc.). Estos intentos fallidos también parecen continuar 24/7.

Como somos una empresa bastante pequeña, estoy bastante seguro de que no son intentos legítimos y están automatizados.

A continuación se muestra un ejemplo de registro de seguridad de registros de Windows. 

Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID:        NULL SID
Account Name:       BOARDROOM
Account Domain:     
Failure Information:
Failure Reason:     Unknown user name or bad password.
Status:         0xC000006D
Sub Status:     0xC0000064
Process Information:
Caller Process ID:  0x0
Caller Process Name:    -
Network Information:
Workstation Name:   -
Source Network Address: -
Source Port:        -
Detailed Authentication Information:
Logon Process:      NtLmSsp 
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only):   -
Key Length:     0

¿Tengo razón para preocuparme de que nos hackeen? ¿Cómo puedo averiguar de dónde provienen estos intentos fallidos de inicio de sesión y detenerlos?

    
pregunta ftzortz 27.11.2017 - 14:20
fuente

1 respuesta

0

Entonces, de acuerdo con una pequeña búsqueda en Internet, lo más probable es que estés bajo algún tipo de ataque. Si no es así, entonces alguien debe haber cometido un error enorme al configurar un script de conexión.

Lo que aprendemos de su registro:

  • Alguien está intentando acceder a su servidor desde el exterior (tipo de inicio de sesión 3), a través de RDP.
  • Los intentos son por ahora, todos los fallos (evento id 4625)
  • Es muy probable que sea un script, de acuerdo con la frecuencia de inicios de sesión fallidos
  • No tiene ninguna información sobre la máquina de origen que intenta acceder a su servidor.

¿Por qué no tienes información? Lo más probable es que se deba al RDP, que evita que su servidor registre dicha información.

¿Qué debes hacer entonces?

Intente restringir el acceso a su servidor a través de listas blancas. Permitiendo que solo la estación de trabajo confiable en su red acceda al servidor.

Además, si no tiene uno, algunos IDS / IPS pueden evitar ese intento.

Si no puede permitirse cualquiera de estas soluciones, ya que el ataque parece aleatorio y probablemente se basa en una lista de "nombres de usuario y contraseñas de uso más frecuente", cambiar algunos nombres de usuario críticos por nombres poco convencionales podría retrasar o incluso anular el ataque .

También en el caso de que una de sus cuentas coincida con un nombre de usuario probado, una práctica común es bloquear una cuenta después de que X haya fallado las pruebas de autenticación, o generar una nueva contraseña para ella. Por un lado, limita el riesgo de que el script encuentre la buena pareja de nombre de usuario / contraseña y lo explote, por otro lado, está exponiendo su sistema a interrupciones de la administración, al bloquear algunas de sus cuentas importantes.

Tenga en cuenta que esto es solo una solución , no pretende ser una solución duradera. Probablemente lo mejor sería restringir el acceso a su servidor.

    
respondido por el Kaël 27.11.2017 - 15:07
fuente

Lea otras preguntas en las etiquetas

¿Cómo implementar una clave maestra de Crysis ransomware? ¿Cuál es la mejor manera de analizar los resultados de una evaluación de seguridad técnica? [cerrado]