none
Podivné přihlášení k RDS RRS feed

  • Dotaz

  • Dobrý den,

    při instalaci nových RDS licencí na Windows Server 2016 Std. jsem si všiml, že byla vystavena dočasná licence pro počítač podivného jména (Ubuntu-iso-DNS). Ve stejný čas je pak v protokolu zabezpečení záznam:

    Došlo k pokusu o přihlášení pomocí explicitních přihlašovacích údajů.
    
    Předmět:
    	ID zabezpečení:		SYSTEM
    	Název účtu:		SASTERM1$
    	Doména účtu:		SVOBODA
    	ID přihlášení:		0x3E7
    	GUID přihlášení:		{00000000-0000-0000-0000-000000000000}
    
    Účet, jehož přihlašovací údaje byly použity:
    	Název účtu:		DWM-10
    	Doména účtu:		Window Manager
    	GUID přihlášení:	{00000000-0000-0000-0000-000000000000}
    
    Cílový server:
    	Název cílového serveru:	localhost
    	Další informace:	localhost
    
    Informace o procesu:
    	ID procesu:		0x9bc
    	Název procesu:		C:\Windows\System32\winlogon.exe
    
    Informace o síti:
    	Síťová adresa:	-
    	Port:			-
    
    Tato událost je generována, pokud se proces pokusí přihlásit k účtu explicitním zadáním přihlašovacích údajů tohoto účtu. K tomu nejčastěji dochází v dávkových konfiguracích, například naplánovaných úlohách, nebo při použití příkazu RUNAS.
    

    A další záznam:

    Účet byl úspěšně přihlášen.
    
    Předmět:
    	ID zabezpečení:		SYSTEM
    	Název účtu:		SASTERM1$
    	Doména účtu:		SVOBODA
    	ID přihlášení:		0x3E7
    
    Informace o přihlášení:
    	Typ přihlášení:		2
    	Omezený režim správce:	-
    	Virtuální účet:		Ano
    	Token se zvýšeným oprávněním:		Ano
    
    Úroveň zosobnění:		Zosobnění
    
    Nové přihlášení:
    	ID zabezpečení:		Window Manager\DWM-10
    	Název účtu:		DWM-10
    	Doména účtu:		Window Manager
    	ID přihlášení:		0x2F19358D
    	ID propojeného přihlášení:		0x2F1935A0
    	Název účtu v síti:	-
    	Doména účtu v síti:	-
    	GUID přihlášení:		{00000000-0000-0000-0000-000000000000}
    
    Informace o procesu:
    	ID procesu:		0x9bc
    	Název procesu:		C:\Windows\System32\winlogon.exe
    
    Informace o síti:
    	Název pracovní stanice:	-
    	Adresa zdrojové sítě:	-
    	Zdrojový port:		-
    
    Podrobné informace o ověření:
    	Proces přihlášení:		Advapi  
    	Balíček ověření:	Negotiate
    	Přenosové služby:	-
    	Název balíčku (jenom NTLM):	-
    	Délka klíče:		0
    
    Tato událost je vygenerována po vytvoření relace přihlášení. Je generována v počítači, ke kterému byl získán přístup.
    
    Pole předmětu označují účet v místním systému, který si vyžádal přihlášení. Obvykle se jedná o službu, například serverovou službu, nebo o místní proces, například Winlogon.exe nebo Services.exe.
    
    Pole typu přihlášení označuje druh přihlášení, které proběhlo. Nejčastější typy jsou 2 (interaktivní) a 3 (síťové).
    
    Pole Nové přihlášení označují účet, pro který bylo vytvořeno nové přihlášení, tj. přihlášený účet.
    
    Pole Síť označují původ požadavku na vzdálené přihlášení. Název pracovní stanice není vždy k dispozici a v některých případech může být toto pole prázdné.
    
    Pole úrovně zosobnění označuje rozsah, ve kterém může být proces v přihlašovací relaci zosobněn.
    
    Pole s informacemi o ověření poskytují podrobné informace o tomto konkrétním požadavku na přihlášení.
    	- GUID přihlášení je jednoznačný identifikátor, který je možné použít ke spojení této události s událostí KDC.
    	- Přenosové služby označují pomocné služby, které se podílely na tomto požadavku na přihlášení.
    	- Název balíčku označuje dílčí protokol z protokolů NTLM, který byl použit.
    	- Délka klíče označuje délku generovaného klíče relace. Tato hodnota bude 0, pokud nebyl požadován žádný klíč relace.

    Protože žádný uživatel "Window Manager\DWM-10" v doméně neexistuje, nevím, jak si to vysvětlit. Jde o nějaké napadení serveru?

    Děkuji. S pozdravem Martd




    mart

    pátek 9. listopadu 2018 6:46

Všechny reakce

  • DWM = Desktop Windows Manager

    MP

    pátek 9. listopadu 2018 9:23
    Moderátor
  • To jo, ale proč se to na vteřinu kryje s údajem o vystavení dočasné licence nějakému divnému PC?

    mart

    pátek 9. listopadu 2018 18:24
  • No protoze mu DWM zacne pomahat vykreslovat plochu

    MP

    pátek 9. listopadu 2018 18:54
    Moderátor
  • jsem se ještě zamyslel :)

    Zkus projet logy v Application and Service Logs > Microsoft > Windows > RemoteDesktopServices-RdpCoreTS > Operational

    Tam by mohly být nějaké relevantní informace, například IP adresa, ze které byl činěn pokus o spojení. Jestli náhodou něco nezkouší nějaký brutal force útok, nebo něco podobného.

    Pokud se spojení navázalo, pak projet i v Application and Service Logs > Microsoft > Windows > TerminalServices-RemoteConnectionManager


    středa 14. listopadu 2018 7:49
  • Velmi děkuji za navedení do těch správných logů. Bohužel jsem tu nic nenašel, přesněji jsou zde záznamy jen cca 6 hodin zpět. Zkusím dohledat, jak prodloužit dobu, po kterou se logy uchovávají. Těžko se mi povede odchytit čas přidělení dočasné licence a hned se podívat do logů.

    mart

    čtvrtek 15. listopadu 2018 6:03