Εμφάνιση 1-7 από 7
  1. 29-04-17, 21:13 Windows Server 2016 - Block logon attempts #1
    Το avatar του μέλους asimako
    asimako
    Το μέλος asimako δεν είναι συνδεδεμένο Frequent Member
    Εγγραφή
    28-07-2006
    Περιοχή
    Lios Angeles
    Ηλικία
    47
    Μηνύματα
    281
    Downloads
    32
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    4996/49998
    ISP
    COSMOTE
    DSLAM
    ΟΤΕ - ΠΕΤΡΟΥΠΟΛΗ
    Router
    951G-2HnD / Entry 2i
    SNR / Attn
    11.8(dB) / 4.9(dB)
    Path Level
    Interleaved
    Σε ένα VPS με το λειτουργικό του τίτλου λαμβάνω συνεχόμενα "logon attempt reguests" (4750 events se 10 ώρες) από διάφορα άσχετα IP.
    Υπάρχει τρόπος να βάζω πχ αυτές τις IP σε μια block list και να τις μπλοκάρω από το firewall ?

    Spoiler:

    Log Name: Security
    Source: Microsoft-Windows-Security-Auditing
    Date: 29-Apr-17 20:01:57
    Event ID: 4625
    Task Category: Logon
    Level: Information
    Keywords: Audit Failure
    User: N/A
    Computer: vmi115577
    Description:
    An account failed to log on.


    Subject:
    Security ID: NULL SID
    Account Name: -
    Account Domain: -
    Logon ID: 0x0


    Logon Type: 3


    Account For Which Logon Failed:
    Security ID: NULL SID
    Account Name: JENNIFER
    Account Domain:


    Failure Information:
    Failure Reason: Unknown user name or bad password.
    Status: 0xC000006D
    Sub Status: 0xC0000064


    Process Information:
    Caller Process ID: 0x0
    Caller Process Name: -


    Network Information:
    Workstation Name:
    Source Network Address: 46.166.190.202
    Source Port: 0


    Detailed Authentication Information:
    Logon Process: NtLmSsp
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only): -
    Key Length: 0


    This event is generated when a logon request fails. It is generated on the computer where access was attempted.


    The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.


    The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).


    The Process Information fields indicate which account and process on the system requested the logon.


    The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.


    The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
    Παράθεση Παράθεση
  2. 30-04-17, 02:50 Απάντηση: Windows Server 2016 - Block logon attempts #2
    Το avatar του μέλους biggeo65
    biggeo65
    Το μέλος biggeo65 δεν είναι συνδεδεμένο aDSLgr Addict
    Εγγραφή
    30-05-2009
    Μηνύματα
    19.486
    Downloads
    2
    Uploads
    0
    Ταχύτητα
    kbps 1.020 / 21.348
    ISP
    Forthnet
    DSLAM
    Forthnet - ΠΤΟΛΕΜΑΪΔΑ
    Router
    Thomson TG585 v8
    SNR / Attn
    6.5(dB) / 12.5(dB)
    Παράθεση Αρχικό μήνυμα από asimako Εμφάνιση μηνυμάτων
    Σε ένα VPS με το λειτουργικό του τίτλου λαμβάνω συνεχόμενα "logon attempt reguests" (4750 events se 10 ώρες) από διάφορα άσχετα IP.
    Υπάρχει τρόπος να βάζω πχ αυτές τις IP σε μια block list και να τις μπλοκάρω από το firewall ?

    Spoiler:

    Log Name: Security
    Source: Microsoft-Windows-Security-Auditing
    Date: 29-Apr-17 20:01:57
    Event ID: 4625 Αποτυχία σύνδεσης κάποιου λογαριασμού.
    Task Category: Logon
    Level: Information
    Keywords: Audit Failure
    User: N/A
    Computer: vmi115577
    Description:
    An account failed to log on.


    Subject:
    Security ID: NULL SID
    Account Name: -
    Account Domain: -
    Logon ID: 0x0


    Logon Type: 3


    Account For Which Logon Failed:
    [B]Security ID: NULL SID[/B] Δεν μπόρεσε να αναγνωριστεί ο χρήστης.
    Account Name: JENNIFER
    Account Domain:


    Failure Information:
    Failure Reason: Unknown user name or bad password.
    Status: 0xC000006D
    Sub Status: 0xC0000064     Δεν υπάρχει το όνομα χρήστη


    Process Information:
    Caller Process ID: 0x0 Η κλήση γίνεται από PC client κι όχι από κάποια διεργασία.
    Caller Process Name: -


    Network Information:
    Workstation Name:
    Source Network Address: 46.166.190.202
    Source Port: 0


    Detailed Authentication Information:
    Logon Process: NtLmSsp
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only): -
    Key Length: 0


    This event is generated when a logon request fails. It is generated on the computer where access was attempted.


    The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.


    The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).


    The Process Information fields indicate which account and process on the system requested the logon.


    The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.


    The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
    Λογικά μπορείς να τα αποκλείσεις μέσω firewall,αλλά δεν το προτείνω πριν το ψάξεις λίγο.
    Αν πάρουμε με την σειρά το Event Log έχουμε: Δες το δικό σου spoiler παραπάνω.

    Γενικά δεν μπορούμε να πουμε πολλά αν δεν ξέρουμε πως είναι στημένο το VPS,
    αλλά και το παραπάνω Event log δεν αποτελεί παραβίαση ασφαλείας.

    Spoiler:

    Πριν αποκλείσεις κάποια IP πρέπει να δεις κάποια πράγματα.

    Α)     Mήπως υπάρχει κάποιο PC στο δίκτυο που ζητά σύνδεση,αλλά έχει αλλάξει το όνομα χρήστη;
    Β) Η ΙΡ είναι ίδια κάθε φορά ή αλλάζει;Αν είναι ίδια είναι μια ένδειξη,
    ότι είναι υπολογιστής του δικτύου που του παραχώρησες static IP.

    Σε αυτές τις περριπτώσεις αν κάνεις φραγή μέσω Firewall,
    λογικά θα αφήσεις PC του δικτύου εκτός σύνδεσης με το VPS.

    Γ Αν δεν είναι ίδια η IP κάθε φορά πάλι μπορεί να είναι PC του δικτύου.
    Απλά θέλει να το ψάξεις.

    Δ) Αν δεν είναι PC του δικτύου και παίρνει dynamic IP,δύσκολα να το αποκλείσεις.
    Ακόμη και να βάλεις μία-μία τις ΙΡ στον Firewall,αν και τα άλλα παίρνουν Dynamic IPs
    μπορεί κάποια στιγμή ένα από τα άλλα να πάρει μια από αυτές τις ΙΡ.
    ΕΝ ΟΙΔΑ ΟΤΙ ΟΥΔΕΝ ΟΙΔΑ
    Παράθεση Παράθεση
  3. 30-04-17, 03:18 Απάντηση: Windows Server 2016 - Block logon attempts #3
    Το avatar του μέλους asimako
    asimako
    Το μέλος asimako δεν είναι συνδεδεμένο Frequent Member
    Εγγραφή
    28-07-2006
    Περιοχή
    Lios Angeles
    Ηλικία
    47
    Μηνύματα
    281
    Downloads
    32
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    4996/49998
    ISP
    COSMOTE
    DSLAM
    ΟΤΕ - ΠΕΤΡΟΥΠΟΛΗ
    Router
    951G-2HnD / Entry 2i
    SNR / Attn
    11.8(dB) / 4.9(dB)
    Path Level
    Interleaved
    Ήταν προσπάθειες να γίνει logιn μέσω rdp μιας και την έχω ανοιχτή για διαχείριση. Άλλαξα την default port και σταμάτησαν τα events. Όλες οι ΙP ήταν άσχετες και διαφορετικές μεταξύ τους (USA, China, Russia etc.)
    Το vps χρησιμοποιείτε σαν application server. Είναι ανοιχτές οι πόρτες 80, 443 και κάποιες "μεγάλες" που ακούν οι εφαρμογές που αναπτύσω. Δεν ανήκει σε κάποιο δίκτυο μιας και είναι ένα απλό vps hosting.
    Παράθεση Παράθεση
  4. 30-04-17, 03:49 Απάντηση: Windows Server 2016 - Block logon attempts #4
    Το avatar του μέλους biggeo65
    biggeo65
    Το μέλος biggeo65 δεν είναι συνδεδεμένο aDSLgr Addict
    Εγγραφή
    30-05-2009
    Μηνύματα
    19.486
    Downloads
    2
    Uploads
    0
    Ταχύτητα
    kbps 1.020 / 21.348
    ISP
    Forthnet
    DSLAM
    Forthnet - ΠΤΟΛΕΜΑΪΔΑ
    Router
    Thomson TG585 v8
    SNR / Attn
    6.5(dB) / 12.5(dB)
    Άρα την βρήκες την λύση. Και καλά που την έγραψες, κάποιον άλλο μπορεί να βοηθήσει.

    Αλλά όπως το έγραψες
    Παράθεση Αρχικό μήνυμα από asimako Εμφάνιση μηνυμάτων
    Σε ένα VPS με το λειτουργικό του τίτλου λαμβάνω συνεχόμενα
    "logon attempt reguests" (4750 events se 10 ώρες) από διάφορα άσχετα IP.
    νόμισα ότι πρόκειται για κανονικό VPS δικτύου.
    ΕΝ ΟΙΔΑ ΟΤΙ ΟΥΔΕΝ ΟΙΔΑ
    Παράθεση Παράθεση
  5. 30-04-17, 04:05 Απάντηση: Windows Server 2016 - Block logon attempts #5
    Το avatar του μέλους asimako
    asimako
    Το μέλος asimako δεν είναι συνδεδεμένο Frequent Member
    Εγγραφή
    28-07-2006
    Περιοχή
    Lios Angeles
    Ηλικία
    47
    Μηνύματα
    281
    Downloads
    32
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    4996/49998
    ISP
    COSMOTE
    DSLAM
    ΟΤΕ - ΠΕΤΡΟΥΠΟΛΗ
    Router
    951G-2HnD / Entry 2i
    SNR / Attn
    11.8(dB) / 4.9(dB)
    Path Level
    Interleaved
    Ναι ήταν λίγο "λακωνική" η ερώτηση
    Μέχρι τώρα δεν είχα τέτοια θέματα επειδή ο server ήταν πίσω απο δίκτυο που είχα τον έλεγχο οπότε μέσω του router έκανα τα πάντα εγώ.
    Λύση τύπου fail2ban υπάρχει για windows server ?
    Παράθεση Παράθεση
  6. 30-04-17, 11:36 Απάντηση: Windows Server 2016 - Block logon attempts #6
    Το avatar του μέλους giotis1982
    giotis1982
    Το μέλος giotis1982 δεν είναι συνδεδεμένο Advanced Member
    Εγγραφή
    02-07-2011
    Ηλικία
    41
    Μηνύματα
    403
    Downloads
    1
    Uploads
    0
    ISP
    HOL
    Μην αφήνετε το RDP έτσι ανοιχτό από το Internet , βάλτε ένα Remote desktop gateway. Αξίζει τα 10 λεπτά παραπάνω παραμετροποίηση.
    Παράθεση Παράθεση
  7. 30-04-17, 21:15 Απάντηση: Windows Server 2016 - Block logon attempts #7
    Το avatar του μέλους asimako
    asimako
    Το μέλος asimako δεν είναι συνδεδεμένο Frequent Member
    Εγγραφή
    28-07-2006
    Περιοχή
    Lios Angeles
    Ηλικία
    47
    Μηνύματα
    281
    Downloads
    32
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    4996/49998
    ISP
    COSMOTE
    DSLAM
    ΟΤΕ - ΠΕΤΡΟΥΠΟΛΗ
    Router
    951G-2HnD / Entry 2i
    SNR / Attn
    11.8(dB) / 4.9(dB)
    Path Level
    Interleaved
    Ενεργοποίησα και τα παρακάτω σε συνδυασμό με την αλλαγή πόρτας

    Spoiler:

    Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security

    Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.  Όνομα: ConfigurePolicies.png  Εμφανίσεις: 6  Μέγεθος: 14,7 KB  ID: 182830

    Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.  Όνομα: ConfigureEncryptionLevel.png  Εμφανίσεις: 4  Μέγεθος: 16,1 KB  ID: 182831

    Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.  Όνομα: ConfigureNetworkAuth.png  Εμφανίσεις: 2  Μέγεθος: 15,0 KB  ID: 182832

    Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.  Όνομα: ConfigureSecurityLayer.png  Εμφανίσεις: 2  Μέγεθος: 16,7 KB  ID: 182833


    Παράθεση Αρχικό μήνυμα από giotis1982 Εμφάνιση μηνυμάτων
    Μην αφήνετε το RDP έτσι ανοιχτό από το Internet , βάλτε ένα Remote desktop gateway. Αξίζει τα 10 λεπτά παραπάνω παραμετροποίηση.
    Ευχαριστώ για την υπενθύμιση. Θα το ψάξω και αυτό.
    Παράθεση Παράθεση
« Προηγούμενο Θέμα | Επόμενο Θέμα »

Παρόμοια Θέματα

  1. Windows server 2012 core για domain controller
    Από bomberb17 στο φόρουμ Windows
    Μηνύματα: 2
    Τελευταίο Μήνυμα: 17-12-16, 17:28
  2. Σχετικά με άδεια χρήσης windows server
    Από jonhh στο φόρουμ Windows
    Μηνύματα: 6
    Τελευταίο Μήνυμα: 04-08-16, 11:02
  3. CALs και TS-CALs σε Windows Server 2003 R2
    Από WannabeIT στο φόρουμ Windows
    Μηνύματα: 0
    Τελευταίο Μήνυμα: 10-05-16, 16:10

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας

Κανόνες του Forum