Mae unrhyw un sydd wedi ceisio rhedeg peiriant rhithwir yn y cwmwl yn ymwybodol iawn y bydd porthladd RDP safonol, os caiff ei adael ar agor, yn cael ei ymosod bron ar unwaith gan donnau o ymdrechion grymuso cyfrinair o wahanol gyfeiriadau IP ledled y byd.
Yn yr erthygl hon byddaf yn dangos sut i Gallwch chi ffurfweddu ymateb awtomatig i rym 'n Ysgrublaidd cyfrinair trwy ychwanegu rheol newydd at y wal dΓ’n. Mae InTrust yn ar gyfer casglu, dadansoddi a storio data distrwythur, sydd eisoes Γ’ channoedd o adweithiau wedi'u diffinio ymlaen llaw i wahanol fathau o ymosodiadau.
Yn Quest InTrust gallwch chi ffurfweddu gweithredoedd ymateb pan fydd rheol yn cael ei sbarduno. Gan yr asiant casglu logiau, mae InTrust yn derbyn neges am ymgais aflwyddiannus i awdurdodi gweithfan neu weinydd. I ffurfweddu ychwanegu cyfeiriadau IP newydd at y wal dΓ’n, mae angen i chi gopΓ―o rheol arferiad sy'n bodoli eisoes ar gyfer canfod sawl awdurdodiad a fethwyd ac agor copi ohono i'w olygu:
Mae digwyddiadau mewn logiau Windows yn defnyddio rhywbeth o'r enw InsertionString. (mae hwn yn fewngofnod aflwyddiannus i'r system) a byddwch yn gweld bod y meysydd y mae gennym ddiddordeb ynddynt yn cael eu storio yn InsertionString14 (Enw Gweithfan) ac InsertionString20 (Cyfeiriad Rhwydwaith Ffynhonnell) Wrth ymosod o'r Rhyngrwyd, y maes Enw Gweithfan fydd yn fwyaf tebygol byddwch yn wag, felly mae'r lle hwn yn bwysig amnewid y gwerth o Cyfeiriad Rhwydwaith Ffynhonnell.
Dyma sut olwg sydd ar destun digwyddiad 4625:
An account failed to log on.
Subject:
Security ID: S-1-5-21-1135140816-2109348461-2107143693-500
Account Name: ALebovsky
Account Domain: LOGISTICS
Logon ID: 0x2a88a
Logon Type: 2
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Paul
Account Domain: LOGISTICS
Failure Information:
Failure Reason: Account locked out.
Status: 0xc0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x3f8
Caller Process Name: C:WindowsSystem32svchost.exe
Network Information:
Workstation Name: DCC1
Source Network Address: ::1
Source Port: 0
Detailed Authentication Information:
Logon Process: seclogo
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Yn ogystal, byddwn yn ychwanegu gwerth Cyfeiriad Rhwydwaith Ffynhonnell i destun y digwyddiad.
Yna mae angen ichi ychwanegu sgript a fydd yn rhwystro'r cyfeiriad IP yn Mur TΓ’n Windows. Isod mae enghraifft y gellir ei defnyddio ar gyfer hyn.
Sgript ar gyfer gosod wal dΓ’n
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string]
$SourceAddress
)
$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'
function Get-BlockedIps {
(Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}
$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object
if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}
Nawr gallwch chi newid enw a disgrifiad y rheol i osgoi dryswch yn nes ymlaen.
Nawr mae angen ichi ychwanegu'r sgript hon fel gweithred ymateb i'r rheol, galluogi'r rheol, a sicrhau bod y rheol gyfatebol wedi'i galluogi yn y polisi monitro amser real. Rhaid galluogi'r asiant i redeg sgript ymateb a rhaid nodi'r paramedr cywir.
Ar Γ΄l cwblhau'r gosodiadau, gostyngodd nifer yr awdurdodiadau aflwyddiannus 80%. Elw? Am un gwych!
Weithiau mae cynnydd bach yn digwydd eto, ond mae hyn oherwydd dyfodiad ffynonellau ymosodiad newydd. Yna mae popeth yn dechrau dirywio eto.
Dros gyfnod o wythnos o waith, ychwanegwyd 66 o gyfeiriadau IP at y rheol wal dΓ’n.
Isod mae tabl gyda 10 enw defnyddiwr cyffredin a ddefnyddiwyd ar gyfer ymdrechion awdurdodi.
Enw defnyddiwr
Rhif
Mewn canrannau
gweinyddwr
1220235
40.78
admin
672109
22.46
defnyddiwr
219870
7.35
contoso
126088
4.21
contoso.com
73048
2.44
gweinyddwr
55319
1.85
gweinydd
39403
1.32
sgazlabdc01.contoso.com
32177
1.08
administrateur
32377
1.08
sgazlabdc01
31259
1.04
Dywedwch wrthym yn y sylwadau sut yr ydych yn ymateb i fygythiadau diogelwch gwybodaeth. Pa system ydych chi'n ei defnyddio a pha mor gyfleus ydyw?
Os oes gennych ddiddordeb mewn gweld InTrust ar waith, yn y ffurflen adborth ar ein gwefan neu ysgrifennwch ataf mewn neges bersonol.
Darllenwch ein herthyglau eraill ar ddiogelwch gwybodaeth:
(erthygl boblogaidd)
Ffynhonnell: hab.com