Յուրաքանչյուր ոք, ով փորձել է ամպի մեջ գործարկել վիրտուալ մեքենա, լավ գիտի, որ ստանդարտ RDP պորտը, եթե բաց մնա, գրեթե անմիջապես կենթարկվի գաղտնաբառի կոպիտ ուժի փորձերի ալիքների հարձակմանը աշխարհի տարբեր IP հասցեներից:
Այս հոդվածում ես ցույց կտամ, թե ինչպես դա անել Դուք կարող եք կարգավորել ավտոմատ արձագանքը գաղտնաբառի կոպիտ ուժին՝ ավելացնելով նոր կանոն firewall-ում: InTrust-ն է չկառուցված տվյալների հավաքագրման, վերլուծության և պահպանման համար, որն արդեն ունի հարյուրավոր կանխորոշված արձագանքներ տարբեր տեսակի հարձակումներին:
Quest InTrust-ում դուք կարող եք կարգավորել պատասխան գործողությունները, երբ կանոնը գործարկվում է: Մատյանների հավաքագրման գործակալից InTrust-ը հաղորդագրություն է ստանում աշխատանքային կայանի կամ սերվերի վրա թույլտվության անհաջող փորձի մասին: Firewall-ին նոր IP հասցեներ ավելացնելու համար անհրաժեշտ է պատճենել գոյություն ունեցող սովորական կանոնը մի քանի ձախողված թույլտվությունները հայտնաբերելու համար և բացել դրա պատճենը խմբագրման համար.
Windows-ի տեղեկամատյաններում իրադարձությունները օգտագործում են InsertionString կոչվող մի բան: (սա անհաջող մուտք է համակարգ), և դուք կտեսնեք, որ մեզ հետաքրքրող դաշտերը պահվում են InsertionString14 (Աշխատանքային կայանի անունը) և InsertionString20 (աղբյուր ցանցի հասցե): Ինտերնետից հարձակվելիս, ամենայն հավանականությամբ, Workstation Name դաշտը կլինի: դատարկ լինի, ուստի այս վայրը կարևոր է փոխարինել աղբյուրի ցանցի հասցեն:
Ահա թե ինչ տեսք ունի 4625-ի իրադարձության տեքստը.
An account failed to log on.
Subject:
Security ID: S-1-5-21-1135140816-2109348461-2107143693-500
Account Name: ALebovsky
Account Domain: LOGISTICS
Logon ID: 0x2a88a
Logon Type: 2
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Paul
Account Domain: LOGISTICS
Failure Information:
Failure Reason: Account locked out.
Status: 0xc0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x3f8
Caller Process Name: C:WindowsSystem32svchost.exe
Network Information:
Workstation Name: DCC1
Source Network Address: ::1
Source Port: 0
Detailed Authentication Information:
Logon Process: seclogo
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Բացի այդ, մենք միջոցառման տեքստին կավելացնենք Աղբյուր ցանցի հասցեի արժեքը:
Այնուհետև դուք պետք է ավելացնեք սկրիպտ, որը կարգելափակի IP հասցեն Windows Firewall-ում: Ստորև բերված է մի օրինակ, որը կարող է օգտագործվել դրա համար:
Սցենար՝ firewall-ի տեղադրման համար
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string]
$SourceAddress
)
$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'
function Get-BlockedIps {
(Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}
$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object
if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}
Այժմ դուք կարող եք փոխել կանոնի անվանումը և նկարագրությունը՝ հետագայում շփոթությունից խուսափելու համար:
Այժմ դուք պետք է ավելացնեք այս սկրիպտը որպես կանոնին պատասխան գործողություն, միացնեք կանոնը և համոզվեք, որ համապատասխան կանոնը միացված է իրական ժամանակի մոնիտորինգի քաղաքականության մեջ: Գործակալը պետք է հնարավորություն ունենա գործարկելու պատասխան սկրիպտը և պետք է ունենա ճիշտ նշված պարամետր:
Կարգավորումների ավարտից հետո անհաջող թույլտվությունների թիվը նվազել է 80%-ով: Շահույթ Ի՜նչ հիանալի է։
Երբեմն փոքր աճը կրկին տեղի է ունենում, բայց դա պայմանավորված է հարձակման նոր աղբյուրների առաջացմամբ: Հետո ամեն ինչ նորից սկսում է անկում ապրել։
Աշխատանքային մեկ շաբաթվա ընթացքում firewall-ի կանոնին ավելացվել է 66 IP հասցե։
Ստորև բերված է աղյուսակ 10 ընդհանուր օգտանուններով, որոնք օգտագործվել են թույլտվության փորձերի համար:
Աբոնենտի անունը
Թիվ
Տոկոսներով
ադմինիստրատոր
1220235
40.78
admin մասին
672109
22.46
Տեղ
219870
7.35
կոնտոզո
126088
4.21
contoso.com
73048
2.44
ադմինիստրատոր
55319
1.85
սերվեր
39403
1.32
sgazlabdc01.contoso.com
32177
1.08
administrateur
32377
1.08
sgazlabdc01
31259
1.04
Պատմեք մեզ մեկնաբանություններում, թե ինչպես եք արձագանքում տեղեկատվական անվտանգության սպառնալիքներին: Ի՞նչ համակարգ եք օգտագործում և որքանո՞վ է այն հարմար:
Եթե ձեզ հետաքրքրում է InTrust-ը գործողության մեջ տեսնել, մեր կայքի հետադարձ կապի ձևով կամ գրեք ինձ անձնական հաղորդագրությամբ:
Կարդացեք տեղեկատվական անվտանգության վերաբերյալ մեր մյուս հոդվածները.
(հանրաճանաչ հոդված)
Source: www.habr.com