none
Windows Server 2008 R2 - Microsoft-Windows-Security-Auditing RRS feed

  • Domanda

  • Buongiorno,

    è da tempo che nei registri di un Server 2008 R2 leggo molteplici tentativi di accesso, 20/30 al giorno. Provengono da IP di tutto il mondo (prevalentemente Asia) e su diverse porte.

    i vari log riportano come porta di origine: 2293  2211   2095   2009   1882 1794  1665  1591 ecc.. 

    Sempre porte diverse.

    Su questo server fisico è installato Windows Server 2008R2 con ruolo AD, file Server e RDS. So che è sconsigliatissimo ma il cliente non ne ha voluto sapere di comprare un altro server per mettere su un server Remote Desktop.

    tutte queste porte però non sono aperte e quindi dall'esterno non sono accessibili.

    Ho pensato che può esserci un dispositivo sulla rete, accessPoint, camera IP o altro che possa essere utilizzato per attacchi DDos.

    È possibile oppure il problema è un altro?

    vi riporto uno dei log di sicurezza windows:

    Event Source: Microsoft-Windows-Security-Auditing

    Accesso di un account non riuscito. Soggetto: ID sicurezza: S-1-5-18 Nome account: SERVER$ Dominio account: DOMINIOCLIENTE ID accesso: 0x3e7 Tipo di accesso: 10 Account il cui accesso non è riuscito: ID sicurezza: S-1-0-0 Nome account: administrator Dominio account: SERVER Informazioni sull'errore: Motivo dell'errore: Nome utente sconosciuto o password errata. Stato: 0xc000006d Stato secondario: 0xc0000064 Informazioni sul processo: ID processo chiamante: 0x1f90 Nome processo chiamante: C:\Windows\System32\winlogon.exe Informazioni di rete: Nome workstation: SERVER Indirizzo di rete di origine: 82.200.142.130 Porta di origine: 3775 Informazioni di autenticazione dettagliate: Processo di accesso: User32 Pacchetto di autenticazione: Negotiate Servizi transitati: - Nome pacchetto (solo NTLM): - Lunghezza chiave: 0 Questo evento viene generato quando una richiesta di accesso non ha esito positivo. Viene generato nel computer in cui è stato tentato l'accesso. Il campo Soggetto indica l'account nel sistema locale che ha richiesto l'accesso. Generalmente si tratta di un servizio, quale il servizio Server, o di un processo locale, ad esempio Winlogon.exe o Services.exe. Il campo Tipo di accesso indica il tipo di accesso richiesto. I tipi più comuni sono 2 (interattivo) e 3 (rete). Il campo Informazioni sul processo indica l'account e il processo nel sistema che hanno richiesto l'accesso. Il campo Informazioni di rete indica l'origine della richiesta di accesso remota. Il nome della workstation non è sempre disponibile e può essere vuoto in alcuni casi. Il campo Informazioni di autenticazione fornisce informazioni dettagliate sulla specifica richiesta di accesso. - Servizi transitati indica quali servizi intermedi hanno partecipato alla richiesta di accesso. - Nome pacchetto indica quale sottoprotocollo dei protocolli NTLM è stato utilizzato. - Lunghezza chiave indica la lunghezza della chiave di sessione generata. Se non è stata richiesta alcuna chiave di sessione, la lunghezza sarà pari a zero.

    Grazie mille

    Giuseppe


    • Modificato Giuseppe M giovedì 22 marzo 2018 16:25 errori orotgrafici
    giovedì 22 marzo 2018 16:10

Risposte

  • Sbagli a vedere la porta di origine, quella che interessa a te è la porta di destinazione (che sicuramente è sempre la 3389).
    Si capisce che ti stanno "bombardando" l'RDP già vedendo il tipo di accesso (10), quindi ti consiglio di chiudere immediatamente la porta 3389 verso internet e di utilizzare solo la VPN per consentire gli accessi RDP verso il server.
    In alternativa dovresti configurare, su un altro server, un RD Gateway per instradare le richieste da internet alla tua rete interna.
    • Contrassegnato come risposta Giuseppe M venerdì 23 marzo 2018 09:27
    giovedì 22 marzo 2018 22:56
    Moderatore

Tutte le risposte

  • Ma l'RDP è esposto direttamente in internet? Gli eventi sono relativi a tentativi di accesso desktop remoto, come se la porta fosse aperta al mondo.


    giovedì 22 marzo 2018 16:36
    Moderatore
  • Si, è aperta solo la porta 3389 perchè ci accedono dall' esterno. 

    1) Puoi spiegarmi come si capisce che è un tentativo di accesso in RDP visto che le porte sono diverse dalla 3389? Per il nome del processo che è winlogon?

    2) su questo server è installato OPEN VPN in modalità road warrior, i client connessi hanno indirizzi del tipo 172.1.1.x. Ho visto che ci si può collegare in RDP tramite l'indirizzo assegnato al Server da OPEN VPN. Quidi chiuderò la porta 3389

    Grazie mille



    • Modificato Giuseppe M giovedì 22 marzo 2018 18:40 aggiornamento
    giovedì 22 marzo 2018 17:20
  • Sbagli a vedere la porta di origine, quella che interessa a te è la porta di destinazione (che sicuramente è sempre la 3389).
    Si capisce che ti stanno "bombardando" l'RDP già vedendo il tipo di accesso (10), quindi ti consiglio di chiudere immediatamente la porta 3389 verso internet e di utilizzare solo la VPN per consentire gli accessi RDP verso il server.
    In alternativa dovresti configurare, su un altro server, un RD Gateway per instradare le richieste da internet alla tua rete interna.
    • Contrassegnato come risposta Giuseppe M venerdì 23 marzo 2018 09:27
    giovedì 22 marzo 2018 22:56
    Moderatore
  • Sbagli a vedere la porta di origine, quella che interessa a te è la porta di destinazione (che sicuramente è sempre la 3389).

    C'è un modo per vedere qual'è la porta di destinazione?

    Lo hai capito da "Nome processo chiamante: C:\Windows\System32\winlogon.exe" che si trattava di accesso tramite RDP oppure da qualcos'altro?

    Grazie per l'insegnamento.

    Giuseppe

    venerdì 23 marzo 2018 09:30
  • Nell'evento di accesso non riuscito c'è un campo "Tipo di accesso" (o in inglese Logon Type).
    Il valore di questo campo è 10, quindi sta ad indicare una tipologia RemoteInteractive ovvero: "A user logged on to this computer remotely using Terminal Services or Remote Desktop".
    Inoltre, sempre nell'evento, è presente anche un campo "Stato secondario" (o in inglese "SubStatus") che indica il tipo di errore. Nel tuo caso era 0xc0000064, quindi probabilmente stavano tentando di accedere utilizzando un nome utente inesistente (nel tuo dominio immagino avrai cambiato nome all'account Administrator predefinito, il che è un'ottima cosa).
    Quindi la porta di destinazione non si può leggere direttamente dal server, ma dall'evento si può dedurre comunque che la porta di destinazione corrispondeva a quella di pubblicazione dell'RDP (che può essere impostata anche su un valore diverso da 3389) in caso contrario l'evento non sarebbe stato proprio registrato.
    Puoi comunque vedere la porta di destinazione da un eventuale firewall installato a monte. Se non è presente alcun firewall o utilizzi solo sistemi dell'ISP ti consiglio di acquistarlo così puoi anche rimuovere OpenVPN dal server e utilizzare per le connessioni esterne un sistema sicuramente più affidabile. Se possibile valuta anche una separazione tra DC e RDS mediante l'utilizzo di macchine virtuali in modo da avere un ambiente più in linea con le best practices.


    venerdì 23 marzo 2018 11:33
    Moderatore