Тысячи неудачных входов в систему [Код 4625]

Question

Я получаю много неудачных входов в систему на моем корневом сервере Windows.

Я уже заблокировал порт RDP, но в окне просмотра событий я все еще вижу много неудачных входов в систему. Они выглядят так:

Fehler beim Anmelden eines Kontos.

Antragsteller:
    Sicherheits-ID:     NULL SID
    Kontoname:      -
    Kontodomäne:        -
    Anmelde-ID:     0x0

Anmeldetyp:         3

Konto, für das die Anmeldung fehlgeschlagen ist:
    Sicherheits-ID:     NULL SID
    Kontoname:          Administrator
    Kontodomäne:        JSJFIDC

Fehlerinformationen:
    Fehlerursache:      Unbekannter Benutzername oder ungültiges Kennwort.
    Status:             0xc000006d
    Unterstatus::       0xc000006a

Prozessinformationen:
    Aufrufprozess-ID:   0x0
    Aufrufprozessname:  -

Netzwerkinformationen:
    Arbeitsstationsname:    JSJFIDC
    Quellnetzwerkadresse:   222.186.21.162
    Quellport:      3074

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:             NtLmSsp 
    Authentifizierungspaket:    NTLM
    Übertragene Dienste:        -
    Paketname (nur NTLM):       -
    Schlüssellänge:             0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert.
Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an,
von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst
wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder
"Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten
Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an,
für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.
Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen
Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte
Informationen zu dieser speziellen Anmeldeanforderung.
    - Die übertragenen Dienste geben an, welche Zwischendienste an
      der Anmeldeanforderung beteiligt waren.
    - Der Paketname gibt das in den NTLM-Protokollen verwendete
      Unterprotokoll an.
    - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels
      an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

Проблема в том, что это похоже на атаку грубой силой. Исходный IP-адрес (в данном случае 222.186.21.162) каждый раз отличается, и почти каждую секунду я получаю неудачные входы в систему.

Важна эта часть:

 Anmeldeprozess:                NtLmSsp 
 Authentifizierungspaket:       NTLM
 ......
 Fehlerursache:      Unbekannter Benutzername oder ungültiges Kennwort.

Это говорит

 Authentication Process:        NtLmSsp 
 Auth Packet:                   NTLM
 ......
 Problem:                       Unknown username or password

Так что я думаю, что это имеет какое-то отношение к NTLM ..

Нужен ли NTLM? Или есть возможность его заблокировать?

Answer 1

Все, что открыто для Интернета, подвергнется постоянным атакам. Система Windows напрямую в интернете - ужасная идея, и вы должны вытащить ее как можно больше за брандмауэр. Если кому-то нужен доступ к этому серверу, установите программное обеспечение VPN и предоставьте ему доступ через него (также убедитесь, что пароли очень надежны и по возможности используйте ключи); и, если можете, отделите эту систему от вашей сети. VPN ограничит потенциальные векторы атак. Это может быть недостатком, поскольку это единственная точка отказа; но его можно укрепить, чтобы уменьшить вероятность взлома.

Возвращаясь к вашему вопросу, NTLM - это LAN Manager, и именно так Windows выполняет аутентификацию для разных вещей, ее нельзя отключить, не сломав много вещей. Наблюдение за множеством неудачных попыток входа в систему определенно может быть признаком атаки методом перебора. Вредоносное ПО, такое как WannaCry, распространяется службами Windows непосредственно в Интернете (SMBv1 или Windows File Sharing). Заглушите эти дыры и позвольте всем, кто заявляет, что не хочет, чтобы им мешали действия VPN, которые они запрашивают для таких вредоносных программ, как WannaCry.

Действительно, «вымогатель», покоривший мир штурмом, не распространялся посредством рассылки рассылки по электронной почте. Напротив, наше исследование показывает, что этот противный червь был распространен с помощью операции, которая выслеживает уязвимую общедоступную сторону портов SMB, а затем использует предполагаемый эксплойт EternalBlue, пропущенный АНБ, чтобы войти в сеть, а затем (также предположительно АНБ), эксплойт DoublePulsar, чтобы установить постоянство и разрешить установку WannaCry Ransomware.

Как распространился вымогатель WannaCry? - Malwarebytes Labs | Malwarebytes Labs