Sesiapa sahaja yang telah cuba menjalankan mesin maya dalam awan sedar bahawa port RDP standard, jika dibiarkan terbuka, hampir serta-merta akan diserang oleh gelombang percubaan kekerasan kata laluan dari pelbagai alamat IP di seluruh dunia.
Dalam artikel ini saya akan menunjukkan bagaimana untuk Anda boleh mengkonfigurasi respons automatik kepada kekerasan kata laluan dengan menambahkan peraturan baharu pada tembok api. InTrust ialah untuk mengumpul, menganalisis dan menyimpan data tidak berstruktur, yang sudah mempunyai ratusan tindak balas yang dipratentukan kepada pelbagai jenis serangan.
Dalam Quest InTrust anda boleh mengkonfigurasi tindakan tindak balas apabila peraturan dicetuskan. Daripada ejen pengumpulan log, InTrust menerima mesej tentang percubaan kebenaran yang tidak berjaya pada stesen kerja atau pelayan. Untuk mengkonfigurasi penambahan alamat IP baharu pada tembok api, anda perlu menyalin peraturan tersuai sedia ada untuk mengesan berbilang keizinan yang gagal dan membuka salinannya untuk diedit:
Peristiwa dalam log Windows menggunakan sesuatu yang dipanggil InsertionString. (ini adalah log masuk yang tidak berjaya ke sistem) dan anda akan melihat bahawa medan yang kami minati disimpan dalam InsertionString14 (Nama Stesen Kerja) dan InsertionString20 (Alamat Rangkaian Sumber). Apabila menyerang dari Internet, medan Nama Stesen Kerja kemungkinan besar akan kosong, jadi tempat ini penting, gantikan nilai daripada Alamat Rangkaian Sumber.
Inilah rupa teks acara 4625:
An account failed to log on.
Subject:
Security ID: S-1-5-21-1135140816-2109348461-2107143693-500
Account Name: ALebovsky
Account Domain: LOGISTICS
Logon ID: 0x2a88a
Logon Type: 2
Account For Which Logon Failed:
Security ID: S-1-0-0
Account Name: Paul
Account Domain: LOGISTICS
Failure Information:
Failure Reason: Account locked out.
Status: 0xc0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x3f8
Caller Process Name: C:WindowsSystem32svchost.exe
Network Information:
Workstation Name: DCC1
Source Network Address: ::1
Source Port: 0
Detailed Authentication Information:
Logon Process: seclogo
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Selain itu, kami akan menambah nilai Alamat Rangkaian Sumber pada teks acara.
Kemudian anda perlu menambah skrip yang akan menyekat alamat IP dalam Windows Firewall. Di bawah adalah contoh yang boleh digunakan untuk ini.
Skrip untuk menyediakan tembok api
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string]
$SourceAddress
)
$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'
function Get-BlockedIps {
(Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}
$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object
if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}
Kini anda boleh menukar nama peraturan dan perihalan untuk mengelakkan kekeliruan kemudian.
Kini anda perlu menambahkan skrip ini sebagai tindakan tindak balas kepada peraturan, dayakan peraturan dan pastikan peraturan yang sepadan didayakan dalam dasar pemantauan masa nyata. Ejen mesti didayakan untuk menjalankan skrip respons dan mesti mempunyai parameter yang betul ditentukan.
Selepas tetapan selesai, bilangan kebenaran yang tidak berjaya berkurangan sebanyak 80%. Untung? Apa yang hebat!
Kadang-kadang peningkatan kecil berlaku lagi, tetapi ini disebabkan oleh kemunculan sumber serangan baru. Kemudian semuanya mula merosot semula.
Sepanjang seminggu bekerja, 66 alamat IP telah ditambahkan pada peraturan tembok api.
Di bawah ialah jadual dengan 10 nama pengguna biasa yang digunakan untuk percubaan kebenaran.
Nama pengguna
Bilangan
Dalam peratusan
pentadbir
1220235
40.78
admin
672109
22.46
pengguna
219870
7.35
contoso
126088
4.21
contoso.com
73048
2.44
pentadbir
55319
1.85
server
39403
1.32
sgazlabdc01.contoso.com
32177
1.08
administrateur
32377
1.08
sgazlabdc01
31259
1.04
Beritahu kami dalam ulasan cara anda bertindak balas terhadap ancaman keselamatan maklumat. Apakah sistem yang anda gunakan dan betapa mudahnya?
Jika anda berminat untuk melihat InTrust beraksi, dalam borang maklum balas di laman web kami atau tulis kepada saya dalam mesej peribadi.
Baca artikel kami yang lain tentang keselamatan maklumat:
(artikel popular)
Sumber: www.habr.com