RDPが1 IPに制限されているにもかかわらずブルートフォースRDP攻撃-どのように?
スコープでのRDPのファイアウォール受信ルールを1つのリモートIPアドレスに制限しました(ローカルIPアドレスセクションは空です)。これは、パブリックルールとプライベートルールの両方で行われました。
このアクションにより、RDPアクセスが私のIPのみに制限されました。別のIPからのアクセスに失敗して自分で確認しましたが、その1つの静的IPからのみマシンにアクセスできます。
しかし、私はまだ毎日数百のブルートフォースRDPを試みています。イベントログ/セキュリティセクションで、他のIPアドレス(外部のように見える)からの他の(失敗した)RDP試行が一貫して表示されます。
ログには「不明なユーザー名または不正なパスワード」がリストされているため、ファイアウォールを通過していることがわかります。
また、RDPポートをカスタムポート#に変更しましたが、それは役に立たず、開いているポートをスキャンしていると想定しています。
別のIPからログインできない場合でも、どうすればよいですか?
攻撃者が何らかの理由でWindowsファイアウォールルールを回避している可能性がありますか?
Windowsサービスから無効にする必要があるものは他にありますか?
これを防ぐために他に何ができますか?
他にこれを止める方法が本当にわからないので、ここでどんな助けにも感謝します、ありがとう!
これは、ドメインコントローラで頻繁に発生する可能性があります。
ドメインコントローラーはありますか?その場合、DCで、netlogon.logデバッグファイルを有効にします(elevated cmd Promptを使用)。
nltest /DBFlag:2080FFFF
では、%WINDIR%\debug\netlogon.logで開きます。ログインしようとしているユーザーと、ログインしようとしているマシンを確認できます。ネットワーク上にotherシステムがあり、thoseActive Directory資格情報を使用するシステム。
上記のデータで問題のサーバーを追跡できるはずです。私の推測は、DCが0.0.0.0/0:3389、VPNを使用してネットワークにリモート接続するAWSサーバーのように。 AWSセキュリティグループを確認したい場合があります。
しかし、それは実際には何でもかまいません。このサーバーがピボットポイントになる前に、このサーバーを見つける必要があります。
そうは言っても、RDPの対象となるシステム(DCではない)を使用していない限り、このスレッドのWiresharkのヒントはこの動作を検出しません。 DCログに直接アクセスして、どこにあるかを自分で確認する必要があります。
後で(昇格されたコマンドプロンプトを使用して)netlogon.logデバッグを無効にするには:
nltest /DBFlag:0x0
ファイアウォールが機能しています。文句を言うことは何もありません。
それはそのIPのみを許可し、他の人がブロックされてログに記録されるため、他の誰かがRDPに到達しようとしていることがわかります。