没有源IP的事件ID 4625

我们在开发和生产环境中总共使用了7个Windows Server（2008/2012）R2标准版。上个月，我们的服务器遭到入侵，我们在Windows事件查看器中发现了许多失败的尝试日志。我们尝试了IDDS的网络武器，但并没有证明它早些时候是好的。

现在，我们已经重新镜像了所有服务器，并重命名了管理员/来宾帐户。在再次设置服务器之后，我们将使用此idds来检测和阻止不需要的IP地址。

IDDS运行良好，但在事件查看器中仍收到4625个事件，但没有任何源IP地址。如何阻止来自匿名IP地址的这些请求？

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
    <Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime='2015-04-18T15:18:10.818780700Z'/>
    <EventRecordID>187035</EventRecordID>
    <Correlation/>
    <Execution ProcessID='24876' ThreadID='133888'/>
    <Channel>Security</Channel>
    <Computer>s17751123</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name='SubjectUserSid'>S-1-0-0</Data>
    <Data Name='SubjectUserName'>-</Data>
    <Data Name='SubjectDomainName'>-</Data>
    <Data Name='SubjectLogonId'>0x0</Data>
    <Data Name='TargetUserSid'>S-1-0-0</Data>
    <Data Name='TargetUserName'>aaron</Data>
    <Data Name='TargetDomainName'>\aaron</Data>
    <Data Name='Status'>0xc000006d</Data>
    <Data Name='FailureReason'>%%2313</Data>
    <Data Name='SubStatus'>0xc0000064</Data>
    <Data Name='LogonType'>3</Data>
    <Data Name='LogonProcessName'>NtLmSsp </Data>
    <Data Name='AuthenticationPackageName'>NTLM</Data>
    <Data Name='WorkstationName'>SSAWSTS01</Data>
    <Data Name='TransmittedServices'>-</Data>
    <Data Name='LmPackageName'>-</Data>
    <Data Name='KeyLength'>0</Data>
    <Data Name='ProcessId'>0x0</Data>
    <Data Name='ProcessName'>-</Data>
    <Data Name='IpAddress'>-</Data>
    <Data Name='IpPort'>-</Data>
  </EventData>
</Event>

更新： 检查防火墙日志后，我认为这些4625事件无论如何都与Rdp不相关，但可能是SSH或我不熟悉的任何其他尝试

即使启用了NLA（无需进行任何调整），RDP尝试失败的IP地址也会记录在此处（在Server 2012 R2上进行了测试，不确定是否使用其他版本）

应用程序和服务日志> Microsoft-Windows-RemoteDesktopServices-RdpCoreTS / Operational（事件ID 140）

记录的文本示例：

来自IP地址为108.166.xxx.xxx的客户端计算机的连接失败，因为用户名或密码不正确。

XML：

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS" Guid="{1139C61B-B549-4251-8ED3-27250A1EDEC8}" /> 
  <EventID>140</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>4</Task> 
  <Opcode>14</Opcode> 
  <Keywords>0x4000000000000000</Keywords> 
  <TimeCreated SystemTime="2016-11-13T11:52:25.314996400Z" /> 
  <EventRecordID>1683867</EventRecordID> 
  <Correlation ActivityID="{F4204608-FB58-4924-A3D9-B8A1B0870000}" /> 
  <Execution ProcessID="2920" ThreadID="4104" /> 
  <Channel>Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational</Channel> 
  <Computer>SERVER</Computer> 
  <Security UserID="S-1-5-20" /> 
  </System>
- <EventData>
  <Data Name="IPString">108.166.xxx.xxx</Data> 
  </EventData>
  </Event>

这是4625事件和使用TLS / SSL的RDP连接的已知限制。您将需要对远程桌面服务器设置使用RDP加密，或者获得更好的IDS产品。

您应该使用内置的Windows防火墙及其日志记录设置。日志将告诉您所有传入连接尝试的IP地址。由于您提到所有服务器都是面向互联网的，因此没有任何理由不使用Windows防火墙作为深度防御策略的一部分。我特别建议不要关闭NLA（网络级身份验证），因为过去使用RLA可以缓解过去对RDP的许多攻击，并且只有受影响的RDP会话主机仅运行经典RDP加密。

此事件通常是由过时的隐藏凭据引起的。从给出错误的系统中尝试以下操作：

在命令提示符下运行： psexec -i -s -d cmd.exe
在新的cmd窗口中运行： rundll32 keymgr.dll,KRShowKeyMgr

删除“存储的用户名和密码”列表中显示的所有项目。重新启动计算机。