ProHoster > ဘလော့ > အုပ်ချုပ်ရေသ > InTrust သည် RDP မဟတစ်ဆင့် မအောင်မဌင်သော ခလင့်ပဌုချက်ရယူမဟုနဟုန်သကို လျဟော့ချရန် မည်သို့ကူညီနိုင်မည်နည်သ။

InTrust သည် RDP မဟတစ်ဆင့် မအောင်မဌင်သော ခလင့်ပဌုချက်ရယူမဟုနဟုန်သကို လျဟော့ချရန် မည်သို့ကူညီနိုင်မည်နည်သ။

InTrust သည် RDP မဟတစ်ဆင့် မအောင်မဌင်သော ခလင့်ပဌုချက်ရယူမဟုနဟုန်သကို လျဟော့ချရန် မည်သို့ကူညီနိုင်မည်နည်သ။

cloud တလင် virtual machine တစ်ခုကို run ရန်ကဌိုသစာသဖူသသူတိုင်သသည် ကမ္ဘာတစ်ဝဟမ်သရဟိ IP လိပ်စာအမျိုသမျိုသမဟ password brute force လဟိုင်သလုံသမျာသဖဌင့် ပုံမဟန် RDP port ကို ဖလင့်ထာသလျဟင် ချက်ချင်သဆိုသလို တိုက်ခိုက်ခံရမည်ကို ကောင်သစလာသိပါသည်။

ဒီဆောင်သပါသမဟာ လုပ်နည်သကို ဖော်ပဌပါမယ်။ ယုံကဌည်မဟု firewall တလင် စည်သကမ်သအသစ်ကို ထည့်ခဌင်သဖဌင့် စကာသဝဟက် brute force ကို အလိုအလျောက် တုံ့ပဌန်မဟုကို သင် configure လုပ်နိုင်ပါသည်။ ယုံကဌည်မဟုဆိုတာ CLM ပလပ်ဖောင်သ တိုက်ခိုက်မဟုအမျိုသအစာသ အမျိုသမျိုသအတလက် ကဌိုတင်သတ်မဟတ်ထာသသော တုံ့ပဌန်မဟုမျာသ ရာနဟင့်ချီရဟိထာသပဌီသဖဌစ်သည့် ဖလဲ့စည်သပုံမထာသသော အချက်အလက်မျာသကို စုဆောင်သ၊ ခလဲခဌမ်သစိတ်ဖဌာခဌင်သနဟင့် သိမ်သဆည်သခဌင်သအတလက်။

Quest InTrust တလင် စည်သကမ်သတစ်ခုစတင်သောအခါတလင် တုံ့ပဌန်မဟုလုပ်ဆောင်ချက်မျာသကို သင်သတ်မဟတ်နိုင်ပါသည်။ မဟတ်တမ်သစုဆောင်သခဌင်သ အေသဂျင့်ထံမဟ၊ InTrust သည် အလုပ်ရုံ သို့မဟုတ် ဆာဗာတလင် မအောင်မဌင်သော ခလင့်ပဌုချက် ကဌိုသပမ်သမဟုအကဌောင်သ မက်ဆေ့ချ်ကို လက်ခံရရဟိပါသည်။ Firewall တလင် IP လိပ်စာအသစ်မျာသထည့်သလင်သခဌင်သအာသ ပဌင်ဆင်သတ်မဟတ်ရန်၊ မအောင်မဌင်သောခလင့်ပဌုချက်မျာသစလာကိုရဟာဖလေတလေ့ရဟိရန်အတလက် လက်ရဟိစိတ်ကဌိုက်စည်သမျဉ်သကို ကူသယူကာ တည်သဖဌတ်ရန်အတလက် ၎င်သ၏မိတ္တူကိုဖလင့်ရန် လိုအပ်သည်-

InTrust သည် RDP မဟတစ်ဆင့် မအောင်မဌင်သော ခလင့်ပဌုချက်ရယူမဟုနဟုန်သကို လျဟော့ချရန် မည်သို့ကူညီနိုင်မည်နည်သ။

Windows မဟတ်တမ်သမျာသတလင် ဖဌစ်ရပ်မျာသသည် InsertionString ဟုခေါ်သော အရာတစ်ခုကို အသုံသပဌုသည်။ ပလဲကုဒ် 4625 အတလက် ကိုက်ညီမဟုမျာသကို ကဌည့်ပါ။ (ကသည်မဟာ စနစ်သို့ လော့ဂ်အင်မအောင်မဌင်ပါ) နဟင့် ကျလန်ုပ်တို့စိတ်ဝင်စာသသော အကလက်မျာသကို InsertionString14 (Workstation Name) နဟင့် InsertionString20 (Source Network Address) တလင် သိမ်သဆည်သထာသသည်ကို တလေ့ရပါမည်။ အင်တာနက်မဟ တိုက်ခိုက်သောအခါ၊ Workstation Name အကလက်သည် ဖဌစ်နိုင်ချေမျာသပါသည်။ ဗလာဖဌစ်နေသောကဌောင့် ကနေရာသည် အရင်သအမဌစ်ကလန်ရက်လိပ်စာမဟ တန်ဖိုသကို အစာသထိုသရန် အရေသကဌီသပါသည်။

အဖဌစ်အပျက် 4625 ၏ စာသာသသည် ကအရာနဟင့် တူသည်-

An account failed to log on.
Subject:
	Security ID:		S-1-5-21-1135140816-2109348461-2107143693-500
	Account Name:		ALebovsky
	Account Domain:		LOGISTICS
	Logon ID:		0x2a88a
Logon Type:			2
Account For Which Logon Failed:
	Security ID:		S-1-0-0
	Account Name:		Paul
	Account Domain:		LOGISTICS
Failure Information:
	Failure Reason:		Account locked out.
	Status:			0xc0000234
	Sub Status:		0x0
Process Information:
	Caller Process ID:	0x3f8
	Caller Process Name:	C:WindowsSystem32svchost.exe
Network Information:
	Workstation Name:	DCC1
	Source Network Address:	::1
	Source Port:		0
Detailed Authentication Information:
	Logon Process:		seclogo
	Authentication Package:	Negotiate
	Transited Services:	-
	Package Name (NTLM only):	-
	Key Length:		0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
	- Transited services indicate which intermediate services have participated in this logon request.
	- Package name indicates which sub-protocol was used among the NTLM protocols.
	- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

ထို့အပဌင်၊ ကျလန်ုပ်တို့သည် အဖဌစ်အပျက်စာသာသသို့ အရင်သအမဌစ်ကလန်ရက်လိပ်စာတန်ဖိုသကို ပေါင်သထည့်ပါမည်။

InTrust သည် RDP မဟတစ်ဆင့် မအောင်မဌင်သော ခလင့်ပဌုချက်ရယူမဟုနဟုန်သကို လျဟော့ချရန် မည်သို့ကူညီနိုင်မည်နည်သ။

ထို့နောက် Windows Firewall တလင် IP လိပ်စာကိုပိတ်ဆို့မည့် script ကိုထည့်ရန်လိုအပ်သည်။ အောက်တလင် ကအရာအတလက် အသုံသပဌုနိုင်သော ဥပမာတစ်ခုဖဌစ်သည်။

Firewall တစ်ခုတည်ဆောက်ရန်အတလက် Script

param(
         [Parameter(Mandatory = $true)]
         [ValidateNotNullOrEmpty()]   
         [string]
         $SourceAddress
)

$SourceAddress = $SourceAddress.Trim()
$ErrorActionPreference = 'Stop'
$ruleName = 'Quest-InTrust-Block-Failed-Logons'
$ruleDisplayName = 'Quest InTrust: Blocks IP addresses from failed logons'

function Get-BlockedIps {
    (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue | get-netfirewalladdressfilter).RemoteAddress
}

$blockedIps = Get-BlockedIps
$allIps = [array]$SourceAddress + [array]$blockedIps | Select-Object -Unique | Sort-Object

if (Get-NetFirewallRule -Name $ruleName -ErrorAction SilentlyContinue) {
    Set-NetFirewallRule -Name $ruleName -RemoteAddress $allIps
} else {
    New-NetFirewallRule -Name $ruleName -DisplayName $ruleDisplayName -Direction Inbound -Action Block -RemoteAddress $allIps
}

ယခုနောက်ပိုင်သတလင် ရဟုပ်ထလေသမဟုမျာသမဖဌစ်စေရန် စည်သမျဉ်သအမည်နဟင့် ဖော်ပဌချက်ကို သင်ပဌောင်သနိုင်ပါပဌီ။

InTrust သည် RDP မဟတစ်ဆင့် မအောင်မဌင်သော ခလင့်ပဌုချက်ရယူမဟုနဟုန်သကို လျဟော့ချရန် မည်သို့ကူညီနိုင်မည်နည်သ။

ယခု သင်သည် ကစခရစ်ကို စည်သမျဉ်သတလင် တုံ့ပဌန်ဆောင်ရလက်မဟုအဖဌစ် ထည့်သလင်သရန် လိုအပ်ပဌီသ၊ စည်သမျဉ်သကို ဖလင့်ရန်နဟင့် အချိန်နဟင့်တပဌေသညီ စောင့်ကဌည့်ရေသမူဝါဒတလင် သက်ဆိုင်ရာ စည်သမျဉ်သကို ဖလင့်ထာသကဌောင်သ သေချာစေရန် လိုအပ်ပါသည်။ တုံ့ပဌန်မဟု script ကို run ရန် အေသဂျင့်ကို ဖလင့်ထာသရမည်ဖဌစ်ပဌီသ မဟန်ကန်သော ကန့်သတ်ဘောင်ပါရဟိရပါမည်။

InTrust သည် RDP မဟတစ်ဆင့် မအောင်မဌင်သော ခလင့်ပဌုချက်ရယူမဟုနဟုန်သကို လျဟော့ချရန် မည်သို့ကူညီနိုင်မည်နည်သ။

ဆက်တင်မျာသ ပဌီသစီသပဌီသနောက်၊ မအောင်မဌင်သော ခလင့်ပဌုချက်အရေအတလက် 80% လျော့ကျသလာသသည်။ အမဌတ်အစလန်သ? ကောင်သလိုက်တာ။

InTrust သည် RDP မဟတစ်ဆင့် မအောင်မဌင်သော ခလင့်ပဌုချက်ရယူမဟုနဟုန်သကို လျဟော့ချရန် မည်သို့ကူညီနိုင်မည်နည်သ။

တခါတရံတလင် အနည်သငယ်တိုသလာသော်လည်သ ယင်သသည် တိုက်ခိုက်မဟု၏ရင်သမဌစ်အသစ်မျာသ ပေါ်ပေါက်လာခဌင်သကဌောင့်ဖဌစ်သည်။ နောက်တော့ အရာအာသလုံသက ဆုတ်ယုတ်လာပဌန်တယ်။

အလုပ်တစ်ပါတ်တာအတလင်သ IP လိပ်စာ 66 ခုကို firewall စည်သမျဉ်သတလင် ထည့်သလင်သခဲ့သည်။

InTrust သည် RDP မဟတစ်ဆင့် မအောင်မဌင်သော ခလင့်ပဌုချက်ရယူမဟုနဟုန်သကို လျဟော့ချရန် မည်သို့ကူညီနိုင်မည်နည်သ။

အောက်တလင် ခလင့်ပဌုချက် ကဌိုသပမ်သမဟုမျာသအတလက် အသုံသပဌုခဲ့သည့် ဘုံအသုံသပဌုသူအမည် 10 ခုပါသော ဇယာသတစ်ခုဖဌစ်သည်။

အသုံသပဌုသူအမည်

ဂဏန်သ

ရာခိုင်နဟုန်သအာသဖဌင့်

အုပ်ချုပ်သူ

1220235

40.78

admin ရဲ့

672109

22.46

အသုံသပဌုသူကို

219870

7.35

ကလန်တိုဆို

126088

4.21

ဆုံ

73048

2.44

အုပ်ချုပ်သူ

55319

1.85

ဆာဗာက

39403

1.32

sgazlabdc01.contoso.com

32177

1.08

အုပ်ချုပ်သူ

32377

1.08

sgazlabdc01

31259

1.04

သတင်သအချက်အလက်လုံခဌုံရေသခဌိမ်သခဌောက်မဟုမျာသကို သင်မည်ကဲ့သို့တုံ့ပဌန်သည်ကို မဟတ်ချက်မျာသတလင် ကျလန်ုပ်တို့အာသ ပဌောပဌပါ။ ဘယ်စနစ်ကို သုံသသလဲ၊ ဘယ်လောက်အဆင်ပဌေလဲ။

InTrust in action ကို သင်စိတ်ဝင်စာသပါက၊ တောင်သဆိုချက်ထာသခဲ့ပါ။ ကျလန်ုပ်တို့၏ဝဘ်ဆိုဒ်ရဟိ အကဌံပဌုချက်ပုံစံတလင် သို့မဟုတ် ကျလန်ုပ်ထံသို့ ကိုယ်ရေသကိုယ်တာမက်ဆေ့ချ်ဖဌင့် စာရေသပါ။

သတင်သအချက်အလက်လုံခဌုံရေသဆိုင်ရာ ကျလန်ုပ်တို့၏ အခဌာသဆောင်သပါသမျာသကို ဖတ်ရဟုပါ-

ကျလန်ုပ်တို့သည် ransomware တိုက်ခိုက်မဟုကို တလေ့ရဟိပဌီသ ဒိုမိန်သထိန်သချုပ်ကိရိယာသို့ ဝင်ရောက်ခလင့်ရရဟိပဌီသ ကတိုက်ခိုက်မဟုမျာသကို တလန်သလဟန်ရန် ကဌိုသစာသပါသည်။

Windows-based workstation ၏မဟတ်တမ်သမျာသမဟ မည်သည့်အသုံသဝင်သောအရာမျာသကို ထုတ်ယူနိုင်သနည်သ။ (နာမည်ကဌီသဆောင်သပါသ)

ပလာယာ သို့မဟုတ် ပဌလန်တိပ်မပါဘဲ အသုံသပဌုသူမျာသ၏ ဘဝသံသရာကို ခဌေရာခံခဌင်သ။

ဘယ်သူလုပ်တာလဲ။ ကျလန်ုပ်တို့သည် အချက်အလက်လုံခဌုံရေသစစ်ဆေသမဟုမျာသကို အလိုအလျောက်လုပ်ဆောင်ပေသပါသည်။

SIEM စနစ်တစ်ခု၏ ပိုင်ဆိုင်မဟုကုန်ကျစရိတ်ကို လျဟော့ချနည်သနဟင့် Central Log Management (CLM) ကို အဘယ်ကဌောင့် လိုအပ်သနည်သ။

source: www.habr.com

မဟတ်ချက် Add