Event-Logging-IP-Adresse nicht immer beheben
Bin ich Einhaken der Ereignisprotokoll " Sicherheit mit System.Diagnostik.Eventing.Reader.EventLogWatcher Klasse, und ich bin gerade Ereignis-ID 4625, auf einem 2008 server, für eingehende fehlgeschlagene logins (RDP, speziell).
Log-Aufnahme ist in Ordnung, und ich bin dumping die Ergebnisse in eine Warteschlange für Verwandte, später Verarbeitung. Manchmal wird jedoch der Protokolle erfasst haben, die IP-Adresse des Daten-Feld ausgefüllt (gelöst), und manchmal tun Sie nicht.
Habe ich windump, während gerade der server, der versucht meine übliche RDP-logins von unterschiedlichen Servern und OS-Aromen, und die einzige Schlussfolgerung, die ich kann kommen, um über diese version Unterschied-Problem, und nicht schlecht Codierung. Obwohl ich könnte falsch sein, LOL.
Das problem ist in den Ereignisprotokollen sich mit Blick auf diese verbindungen. Alle fehlgeschlagen RDP-logins werden protokolliert und korrekt verarbeitet werden, aber einige von den logs einfach nicht erfassen die Quell-IP-Adresse die Verbindung fehlgeschlagen.
Einige neuere Geschmack von mstsc irgendwie die Ursache für remote event log NICHT protokolliert Quell-IP-Adresse? Dies scheint, um wahr zu sein für alle anderen 2008 server, den ich gegen dieses süchtig server. Alle 2003-oder XP-Maschine, die ich bisher ausprobiert habe ist korrekt.
Wenn du mehr Informationen benötigst, lass es mich wissen. Dank SO!
BEARBEITEN
Muss ich etwas verrücktes tun-wie implementieren sharpPcap und korrelieren IPs eventlogs so? =/. Kann lsass abgefragt werden, vielleicht (ist es nicht die einzige Sache, die in der Regel schreibt der Security-Protokoll)?
- Sie erhalten möglicherweise mehr Antworten zu deiner letzten Frage über auf serverfault.com
- Danke, ich werde den link mein Konto. und versuchen, die
- serverfault.com/questions/84749/...
Du musst angemeldet sein, um einen Kommentar abzugeben.
Habe ich endlich das arbeiten. Dies passierte, denn es wurden zwei Methoden für die Authentifizierung verwendet wird, der für RDP-verbindungen: NTLM und User32. Ich änderte GPO-Einstellungen zu töten, die ausländischen NTLM-verbindungen.
Diese werden die GPO Einstellungen, die ich gesetzt das war die Magie. Bitte beachten Sie, dass dies ist ein Server 2008 R2-Feld.
Erforderlich
Computer Configuration\Windows Settings\Security Settings\Security Options
Network security: LAN Manager-Authentifizierungsebene -- nur NTLMv2-Antworten Senden. Verweigern die LM & NTLM
Netzwerksicherheit: Beschränken von NTLM: Prüfung der Eingehenden NTLM-Datenverkehr Aktivieren der überwachung für alle Konten
Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr Verweigern alle Konten
Empfohlen
Nicht zulassen, für die Passwörter gespeichert werden -- Aktiviert
Eingabeaufforderung zu Anmeldeinformationen auf dem client-computer -- Aktiviert
Wechselte ich einige andere security-zugehörige Schlüssel, auch, aber diese sollten den Kern lieben. Zwingen eingehenden Netzwerk-traffic Weg von der Verwendung von NTLM ermöglicht es jedem einzelnen Ereignis 4625 enthalten die IP-Adresse des ausgefallenen computer, wie Sie sind, die Kraft zu verwenden, User32 Anmeldung.
Lassen Sie mich wissen, wenn dies scheint Total unsicher oder gibt es vielleicht einen besseren Weg, dies zu tun, aber dies ermöglicht die ordnungsgemäße Zählung und protokolliert der fehlgeschlagenen versuche, unter Beibehaltung einer Ebene der Verschlüsselung für die Verbindung.
Incoming NTLM traffic
Einstellung ist genug.Audit Incoming NTLM Traffic
nicht vermehren-audit-log und ist separat angemeldetApps and Services Logs
imWindows\NTLM\Operational
aber es gibt keine IP-Adressen in diesen.LM authentication level
hat auch keinen Einfluss aufNtLmSsp
Anmeldeversuche.Asteroiden Antwort funktioniert, aber Sie MÜSSEN aktivieren Sie "Zulassen verbindungen von Computern mit einer beliebigen version von Remote Desktop (weniger sicher)" statt "Zulassen verbindungen nur von Computern, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene (sicherer)".
NLA nicht verwenden, User32, aber verwendet NtLmSsp die sich auf LM-Antworten. Wenn es das ist, blockiert (wie in der Anleitung oben wird es tun), werden Sie am Ende mit ye olde "Die Lokale Sicherheitsautorität kann nicht kontaktiert werden."