服务器ntlmssp攻击防御措施,server2008大量审核失败问题

编辑整理:
久良优品老秦
热度:
10562

windows server 2008等服务器,事件查看器发现日志有很多审核失败的登陆事件

windows server 2008等服务器,事件查看器发现日志里有很多的登陆和审核日志。a7c

看日志发现大量审核失败的登陆事件,很多类似如下信息:

14c93543

详细身份验证信息:cbd7a8

登录进程:NtLmSsp 

14c93543

身份验证数据包:NTLMa7c

传递的服务:-a7c

数据包名(仅限 NTLM):NTLM V2222e5b95

密钥长度:1289b69d58


解决方法,供参考:3c6904

本文方法实测server 2012有效,2008因为远程桌面没设置第2项,效果有限。www.9lyp.com

修改远程桌面端口号必须做,但是有时候没用,因为你肯定是要用的,别人还是可以探测有哪些端口,毕竟端口数是有限的。3c6904


cbd7a8

一、首先安装修复补丁:cbd7a8

CVE-2019-1040和CVE-2019-1019补丁cbd7a8

微软官方下载地址(中文):a7c

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-1040www.9lyp.com

选择自己的服务器系统对应版本的补丁。a7c

可能需要打开windows update 才能安装。

14c93543

官方网址,在发布本文章时还能访问,如果后期失效,请自行搜索。

14c93543


cbd7a8


二、运行组策略gpedit.msc9b69d58


222e5b95

计算机配置》windows设置》安全设置》本地策略》安全选项。www.9lyp.com

修改以下2个设置:222e5b95

1)网络安全:Lan管理器身份验证级别:仅发送 NTLMv2 响应/拒绝 LM 和 NTLM9b69d58

2)网络安全:限制NTLM:传入NTLM流量  改成禁止所有(注意此项会影响远程桌面访问,必须远程的不要设置,但是不设置效果就不好,需要找别的办法cbd7a8

Lan管理器身份验证级别可能的设置包括以下内容。3c6904

官方说明:cbd7a8

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj852167(v=ws.10)?redirectedfrom=MSDNcbd7a8


14c93543

设置说明
0发送 LM 和 NTLM 响应客户端使用 LM 和 NTLM 身份验证且从不使用 NTLMv2 会话安全。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
1发送 LM 和 NTLM - 如果已协商,则使用 NTLMv2 会话安全客户端使用 LM 和 NTLM 身份验证并在服务器支持时使用 NTLMv2 会话安全。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
2仅发送 NTLM 响应客户端只使用 NTLM 身份验证并在服务器支持时使用 NTLMv2 会话安全。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
3仅发送 NTLMv2 响应客户端只使用 NTLMv2 身份验证并在服务器支持时使用 NTLMv2 会话安全。 域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
4仅发送 NTLMv2 响应/拒绝 LM客户端只使用 NTLMv2 身份验证并在服务器支持时使用 NTLMv2 会话安全。 域控制器拒绝 LM,而只接受 NTLM 和 NTLMv2 身份验证。
5仅发送 NTLMv2 响应/拒绝 LM 和 NTLM客户端只使用 NTLMv2 身份验证并在服务器支持时使用 NTLMv2 会话安全。 域控制器拒绝 LM 和 NTLM,而只接受 NTLMv2 身份验证。

修改以后,要注意看看自己的业务系统是否受到影响,5c846df

如果受到影响,可以调整设置选项。cbd7a8


222e5b95

往下找到》网络访问: 不允许 SAM 账户和共享的匿名枚举 

14c93543

改成启用。3c6904


5c846df


如果之前不小心开了第二条的禁止所有NTLM怎么处理?a7c

试试服务器提供商网页版的VNC登陆方式是否可以登陆。9b69d58


9b69d58


安全设置2:a7c

安全设置》帐户策略 》 帐户锁定策略

14c93543

这个默认是输错密码可以不断尝试。所以必须修改。cbd7a8

账户锁定时间,改成 1小时或更多。a7c

账户锁定阈值:改成3次或5次。就是允许输入密码错误次数。a7c

修改以后有些会提示增加一个“重置账户锁定计数器”,一定要选择。和锁定时间一致,1小时。意思就是1小时以后才能再次重试。3c6904

但是如果攻击方不断更换用户名,可能这个方法不起作用。5c846df


windows防火墙cbd7a8

如果在日志里可以看到攻击者ip的话(不一定有)。9b69d58

新建入站规则》自定义规则》222e5b95

直接自定义规则,把攻击者ip填入,设置成禁止访问。


建议管理员进行以下操作:

执行修补程序:确保为工作站和服务器打上了所需的补丁,要注意,单独的补丁是不够的,公司还需要进行配置更改,以便得到完全的保护。

强制SMB签名:为了防止攻击者发起更简单的NTLM RELAY攻击,请务必在网络中的所有计算机上启用SMB 签名。

禁用NTLMv1:该版本相当不安全,建议通过适当的组策略来完全禁用。

强制LDAP/S签名:为了防止LDAP中的NTLM RELAY攻击,在域控制器上强制LDAP签名和LDAPS通道绑定。

强制实施EPA:为了防止NTLM在web服务器上被黑客用来发动中继攻击,强制所有web服务器只接受EPA的请求。

减少NTLM的使用:因为即便采用了完整的安全配置,NTLM 也会比Kerberos 带来更大的安全隐患,建议在不必要的环境中彻底弃用。


重启服务器或者运行里输入命令:gpupdate  (没有空格)

回车就可以使组策略生效


其它办法:

安装服务器安全软件,很多都支持防暴力破解。

这种办法比较方便,不好的地方就是需要找免费的。免费的有些会有些广告。


a7c