Intrusion résau windows Server 2008
Fred
-
Arm.7.ageddon Messages postés 42 Date d'inscription Statut Membre Dernière intervention -
Arm.7.ageddon Messages postés 42 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Le serveur de l'entreprise que je viens d'intégrer me semble piraté, dans l'observateur d'événement sécurité, j'ai plus de 100 000 entrées sur une période restreinte. Certains audit de connexion me semble préoccupant :
rapport 1 :
- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-a5ba-3e3b0328c30d}
EventID 4672
Version 0
Level 0
Task 12548
Opcode 0
Keywords 0x8020000000000000
- TimeCreated
[ SystemTime] 2016-02-25T14:47:03.589Z
EventRecordID 59612716
Correlation
- Execution
[ ProcessID] 612
[ ThreadID] 6360
Channel Security
Computer SRV2008.domaine.local
Security
- EventData
SubjectUserSid S-1-5-18
SubjectUserName SRV2008$
SubjectDomainName DOMAINE
SubjectLogonId 0x8ccfdfa
PrivilegeList SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege SeEnableDelegationPrivilege
Rapport 2 :
- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-a5ba-3e3b0328c30d}
EventID 4624
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8020000000000000
- TimeCreated
[ SystemTime] 2016-02-25T14:47:03.589Z
EventRecordID 59612717
Correlation
- Execution
[ ProcessID] 612
[ ThreadID] 6360
Channel Security
Computer SRV2008.domaine.local
Security
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-5-18
TargetUserName SRV2008$
TargetDomainName DOMAINE
TargetLogonId 0x8ccfdfa
LogonType 3
LogonProcessName Kerberos
AuthenticationPackageName Kerberos
WorkstationName
LogonGuid {9149287C-94AD-3E78-897D-A8AD2E7F66A2}
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress 192.168.1.99
IpPort 63403
J'ai demandé l'achat d'un pare-feu en intégrant l'entreprise, afin de mettre en place une politique de sécurité et j'ai modifié le mdp serveur que la société qui s'occupe de la maintenance avais laissé en admin depuis des années...
Pourriez vous m'aider a sécuriser se réseau, j'avoue être dépassé.
Le serveur de l'entreprise que je viens d'intégrer me semble piraté, dans l'observateur d'événement sécurité, j'ai plus de 100 000 entrées sur une période restreinte. Certains audit de connexion me semble préoccupant :
rapport 1 :
- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-a5ba-3e3b0328c30d}
EventID 4672
Version 0
Level 0
Task 12548
Opcode 0
Keywords 0x8020000000000000
- TimeCreated
[ SystemTime] 2016-02-25T14:47:03.589Z
EventRecordID 59612716
Correlation
- Execution
[ ProcessID] 612
[ ThreadID] 6360
Channel Security
Computer SRV2008.domaine.local
Security
- EventData
SubjectUserSid S-1-5-18
SubjectUserName SRV2008$
SubjectDomainName DOMAINE
SubjectLogonId 0x8ccfdfa
PrivilegeList SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege SeEnableDelegationPrivilege
Rapport 2 :
- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-a5ba-3e3b0328c30d}
EventID 4624
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8020000000000000
- TimeCreated
[ SystemTime] 2016-02-25T14:47:03.589Z
EventRecordID 59612717
Correlation
- Execution
[ ProcessID] 612
[ ThreadID] 6360
Channel Security
Computer SRV2008.domaine.local
Security
- EventData
SubjectUserSid S-1-0-0
SubjectUserName -
SubjectDomainName -
SubjectLogonId 0x0
TargetUserSid S-1-5-18
TargetUserName SRV2008$
TargetDomainName DOMAINE
TargetLogonId 0x8ccfdfa
LogonType 3
LogonProcessName Kerberos
AuthenticationPackageName Kerberos
WorkstationName
LogonGuid {9149287C-94AD-3E78-897D-A8AD2E7F66A2}
TransmittedServices -
LmPackageName -
KeyLength 0
ProcessId 0x0
ProcessName -
IpAddress 192.168.1.99
IpPort 63403
J'ai demandé l'achat d'un pare-feu en intégrant l'entreprise, afin de mettre en place une politique de sécurité et j'ai modifié le mdp serveur que la société qui s'occupe de la maintenance avais laissé en admin depuis des années...
Pourriez vous m'aider a sécuriser se réseau, j'avoue être dépassé.
A voir également:
- Intrusion résau windows Server 2008
- Clé windows 8 - Guide
- Montage video windows - Guide
- Windows ne démarre pas - Guide
- Windows movie maker - Télécharger - Montage & Édition
- Restauration systeme windows 10 - Guide
2 réponses
Si c'est ce genre d'adresse : "IpAddress 192.168.1.99" ça va pas être simple, c'est certainement une adresse de ton réseau local..
Après, les entrées de l'observateur d’événement que tu présentes ([ Name] Microsoft-Windows-Security-Auditing) sont très très *très* nombreuses, et c'est normal..
Vérifie que tu n'as pas d'audits de sécurité paramétrés quelque part, et enlève les.
Ça n'empêche effectivement pas de protéger vos installations par un firewall...
Après, les entrées de l'observateur d’événement que tu présentes ([ Name] Microsoft-Windows-Security-Auditing) sont très très *très* nombreuses, et c'est normal..
Vérifie que tu n'as pas d'audits de sécurité paramétrés quelque part, et enlève les.
Ça n'empêche effectivement pas de protéger vos installations par un firewall...