Event ID 4625: mit jelent és mit tegyen, ha ezrével látja?

Megnyitotta az Eseménynaplót a Windows szerverén, és százával — esetleg ezrével — sorakoznak az „Audit Failure" bejegyzések. Mindegyik Event ID 4625. A lista folyamatosan nő. Valami nincs rendben, de mennyire komoly a helyzet?

Nézzük végig, mit jelentenek ezek a bejegyzések, hogyan állapíthatja meg, hogy támadás alatt áll-e, és mit tehet ellene.

Mi az az Event ID 4625?

Az Event ID 4625 egyetlen dolgot jelent: valaki megpróbált bejelentkezni, és nem sikerült. A Windows minden sikertelen bejelentkezési kísérletet rögzít a Security naplóban — legyen szó elgépelt jelszóról, nem létező felhasználónévről vagy lejárt fiókról. Ennyi az egész: egy sikertelen kísérlet, egy naplóbejegyzés.

Napi néhány ilyen esemény teljesen normális. Az emberek elírják a jelszavukat. Lejárnak a munkamenetek. A szolgáltatásfiókok jelszavai megújulnak. A Windows mindegyiket 4625-ösként rögzíti.

A probléma ott kezdődik, amikor százával vagy ezrével látja őket.

Normális ez, vagy támadás alatt állok?

Ez a kérdés számít igazán. Íme egy egyszerű módszer a megkülönböztetésre:

Normális aktivitás esetén felhasználónként napi 1-5 sikertelen bejelentkezést lát. A felhasználónevek valós fiókok a rendszerén. A forrás IP-címek belsők vagy az ismert felhasználóihoz tartoznak. A Huntress szerint ez a fajta alacsony volumenű hiba rutinszerű és ritkán ad okot aggodalomra.

Egy támadás egészen másképp néz ki. Óránként százakat vagy ezreket lát. A felhasználónevek gyakori neveken pörögnek végig: Administrator, admin, user, test, guest. A forrás IP-címek külsők és ismeretlenek. Az aktivitás éjjel-nappal zajlik, és gyakran munkaidőn kívül csúcsosodik.

A valós, nyitott szerverekről származó adatok megdöbbentőek. Jeffrey Appel honeypot tanulmánya mindössze hét nap alatt 209 335 sikertelen bejelentkezési kísérletet rögzített — ez nagyjából napi 29 900 próbálkozás. A kísérletek több mint 80%-a az „Administrator" fiókot célozta. Ha az Ön 4625-ös számai hasonlóan néznek ki, a szervere brute force támadás alatt áll.

Hogyan ellenőrizze az Event ID 4625 bejegyzéseket

Nyissa meg az Eseménynaplót (Event Viewer), és navigáljon a Windows Logs > Security részhez. Kattintson a jobb oldali panelen a Filter Current Log lehetőségre, és írja be a 4625 számot az Event ID mezőbe. Ez kiszűr mindent, és csak a sikertelen bejelentkezéseket mutatja.

Kattintson bármelyik bejegyzésre, és nézze meg a részletek panelen ezt a három mezőt:

• Source Network Address — Az IP-cím, ahonnan a kísérlet érkezett. Az ismeretlen külső IP-k a támadás legegyértelműbb jelei.
• Logon Type — A szám, amely megmutatja, milyen módon próbáltak bejelentkezni (erről lentebb bővebben).
• Account Name — A kipróbált felhasználónév. A véletlenszerű vagy általános nevek, mint az „admin" vagy „test", automatizált szkennelésre utalnak.

Ha gyorsan meg szeretné nézni, hány sikertelen kísérlet történt az elmúlt 24 órában, futtassa ezt egy emelt szintű PowerShell ablakban:

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddHours(-24)} | Measure-Object

Egyjegyű szám esetén nincs gond. Százas vagy ezres nagyságrend viszont figyelmet igényel.

Ha a PowerShell helyett vizuális összefoglalót szeretne, a BruteFence Checker egy ingyenes, hordozható eszköz, amely kiolvassa az Eseménynaplót és 30 napos jelentést készít a sikertelen RDP bejelentkezési kísérletekről — támadások száma, egyedi IP-címek, legaktívabb támadók és napi bontás. Nem kell telepíteni, csak töltse le és futtassa.

Mit jelentenek a részletek

Minden 4625-ös esemény tartalmaz egy Logon Type és egy Status kódot, amelyek pontosan megmondják, mi történt.

Bejelentkezési típusok (Logon Type)

| Logon Type | Név | Mit jelent | |------------|-----|------------| | 2 | Interactive | Valaki a fizikai billentyűzetnél | | 3 | Network | Hálózaton keresztüli bejelentkezés (SMB, csatlakoztatott meghajtók) | | 10 | RemoteInteractive | RDP vagy Terminal Services — brute force szempontból ez a legfontosabb |

Ha a 4625-ös események többsége Logon Type 10-et mutat, valaki a távoli asztalon (RDP) keresztül próbál bejutni.

Hibakódok (Failure codes)

A Status és Sub Status mezők hexadecimális kódokat használnak, amelyek ijesztőnek tűnnek, de egyértelmű jelentésük van:

| Kód | Mit jelent | |-----|------------| | 0xC000006D | Hibás felhasználónév vagy hitelesítési adat (általános hiba) | | 0xC0000064 | A felhasználónév nem létezik a rendszeren | | 0xC000006A | Helyes felhasználónév, hibás jelszó | | 0xC0000234 | A fiók zárolva van | | 0xC0000072 | A fiók le van tiltva |

Brute force támadás során jellemzően nagy mennyiségű 0xC0000064 (nem létező felhasználóneveket próbálgatnak) keveredik 0xC000006A kódokkal (jó felhasználónév, rossz jelszó). Ez a minta — nevek és jelszavak nagy sebességű ciklikus próbálgatása — az automatizált jelszópróbálgatás (credential stuffing) ujjlenyomata.

A státuszkódok és mezők teljes listáját a Microsoft dokumentációban az Event 4625-höz találja.

Mit tegyen ellene

Miután meggyőződött arról, hogy a sikertelen kísérletek külső IP-címekről érkeznek Logon Type 10-zel, a következő lépéseket érdemes megtenni — nagyjából sürgősségi sorrendben.

Blokkolja a támadó IP-címeket

Nyissa meg a Windows Firewall with Advanced Security panelt, hozzon létre egy új bejövő szabályt, és blokkolja a 4625-ös bejegyzésekben talált forrás IP-címeket. Ez megállítja az azonnali vérzést, de vakondriasztás jellegű megoldás — a támadók folyamatosan váltogatják az IP-jeiket.

Automatizálja a blokkolást

Kézi tűzfalszabályok felvétele nem skálázódik, amikor naponta ezernyi kísérlet érkezik több száz IP-címről. Az automatizált blokkoló eszközök valós időben figyelik a Security naplót, és azonnal tűzfalszabályt hoznak létre, amint egy IP-cím átlépi a hibás bejelentkezések küszöbértékét.

A BruteFence pontosan ezt teszi — figyeli a 4625-ös eseményeket, felismeri a mintát, és automatikusan blokkolja a támadó IP-címeket. Helyben fut a szerveren, felhőkapcsolat nélkül. Nem ez az egyetlen eszköz ebben a kategóriában, de ha kifejezetten RDP brute force ellen keres megoldást, erre a problémára készült. 7 napig ingyenesen kipróbálhatja, hogy megfelel-e a környezetének.

Vizsgálja felül a fiókzárolási házirendet

Ha nincs fiókzárolási házirend beállítva, a brute force támadás korlátlanul próbálgathatja a jelszavakat. Nyissa meg a Local Security Policy panelt (vagy tartományon a Group Policy-t), navigáljon az Account Policies > Account Lockout Policy részhez, és állítson be zárolási küszöbértéket. Már egy 10 hibás kísérletnél aktiválódó, 30 perces zárolási ablak is jelentősen lassítja az automatizált támadásokat.

Fontolja meg az RDP eltávolítását az internetről

Ha a szerver RDP portja közvetlenül elérhető az internetről, a hosszú távú megoldás az, hogy VPN vagy átjáró mögé helyezi. Az automatizált blokkolás és a zárolási házirendek fontos rétegek, de a támadási felület csökkentése mindig a legerősebb lépés. Erről részletes útmutatót írtunk: Biztonságos-e az RDP-t kitenni az internetre?

Ellenőrizze, hogy bejutott-e valaki

Ezt a lépést sokan elfelejtik. Szűrjön a Security naplóban az Event ID 4624-re — ez a sikeres bejelentkezés. Ha a 4625-ös hibákat generáló külső IP-címek bármelyikéről 4624-es bejegyzést is lát, a támadó megtalálta a helyes jelszót. Ez azonnali incidens: változtassa meg az összes jelszót, vizsgálja meg, mihez fértek hozzá, és ellenőrizze, hogy nem hoztak-e létre új felhasználói fiókokat vagy szolgáltatásokat.

Nem egyedül áll ezzel

Ha az Eseménynaplója tele van ezernyi 4625-ös bejegyzéssel, a szervere nem egyedi célpont. Minden Windows gép, amelynek RDP portja elérhető az internetről, tapasztalja ezt. A honeypot adatok igazolják: a napi több tízezer kísérlet az alapszint.

A jó hír az, hogy a megoldás egyértelmű. Ellenőrizze a forrás IP-címeket és bejelentkezési típusokat, blokkolja, ami nem oda való, automatizálja a blokkolást, hogy ne kézzel kelljen csinálnia, és fontolja meg, szükséges-e egyáltalán az RDP-t az internet felé nyitva tartani. Ha többet szeretne tudni arról, hogyan működnek az RDP brute force támadások, olvassa el az útmutatónkat: Mi az az RDP brute force támadás?