Event-Logging-IP-Adresse nicht immer beheben

Bin ich Einhaken der Ereignisprotokoll " Sicherheit mit System.Diagnostik.Eventing.Reader.EventLogWatcher Klasse, und ich bin gerade Ereignis-ID 4625, auf einem 2008 server, für eingehende fehlgeschlagene logins (RDP, speziell).

Log-Aufnahme ist in Ordnung, und ich bin dumping die Ergebnisse in eine Warteschlange für Verwandte, später Verarbeitung. Manchmal wird jedoch der Protokolle erfasst haben, die IP-Adresse des Daten-Feld ausgefüllt (gelöst), und manchmal tun Sie nicht.

Habe ich windump, während gerade der server, der versucht meine übliche RDP-logins von unterschiedlichen Servern und OS-Aromen, und die einzige Schlussfolgerung, die ich kann kommen, um über diese version Unterschied-Problem, und nicht schlecht Codierung. Obwohl ich könnte falsch sein, LOL.

Das problem ist in den Ereignisprotokollen sich mit Blick auf diese verbindungen. Alle fehlgeschlagen RDP-logins werden protokolliert und korrekt verarbeitet werden, aber einige von den logs einfach nicht erfassen die Quell-IP-Adresse die Verbindung fehlgeschlagen.

Einige neuere Geschmack von mstsc irgendwie die Ursache für remote event log NICHT protokolliert Quell-IP-Adresse? Dies scheint, um wahr zu sein für alle anderen 2008 server, den ich gegen dieses süchtig server. Alle 2003-oder XP-Maschine, die ich bisher ausprobiert habe ist korrekt.

Wenn du mehr Informationen benötigst, lass es mich wissen. Dank SO!

BEARBEITEN

Muss ich etwas verrücktes tun-wie implementieren sharpPcap und korrelieren IPs eventlogs so? =/. Kann lsass abgefragt werden, vielleicht (ist es nicht die einzige Sache, die in der Regel schreibt der Security-Protokoll)?

InformationsquelleAutor asteroid | 2009-11-14
  1. 9

    Habe ich endlich das arbeiten. Dies passierte, denn es wurden zwei Methoden für die Authentifizierung verwendet wird, der für RDP-verbindungen: NTLM und User32. Ich änderte GPO-Einstellungen zu töten, die ausländischen NTLM-verbindungen.

    Diese werden die GPO Einstellungen, die ich gesetzt das war die Magie. Bitte beachten Sie, dass dies ist ein Server 2008 R2-Feld.

    Erforderlich

    Computer Configuration\Windows Settings\Security Settings\Security Options

    Network security: LAN Manager-Authentifizierungsebene -- nur NTLMv2-Antworten Senden. Verweigern die LM & NTLM

    Netzwerksicherheit: Beschränken von NTLM: Prüfung der Eingehenden NTLM-Datenverkehr Aktivieren der überwachung für alle Konten

    Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr Verweigern alle Konten

    Empfohlen

    Nicht zulassen, für die Passwörter gespeichert werden -- Aktiviert

    Eingabeaufforderung zu Anmeldeinformationen auf dem client-computer -- Aktiviert

    Wechselte ich einige andere security-zugehörige Schlüssel, auch, aber diese sollten den Kern lieben. Zwingen eingehenden Netzwerk-traffic Weg von der Verwendung von NTLM ermöglicht es jedem einzelnen Ereignis 4625 enthalten die IP-Adresse des ausgefallenen computer, wie Sie sind, die Kraft zu verwenden, User32 Anmeldung.

    Lassen Sie mich wissen, wenn dies scheint Total unsicher oder gibt es vielleicht einen besseren Weg, dies zu tun, aber dies ermöglicht die ordnungsgemäße Zählung und protokolliert der fehlgeschlagenen versuche, unter Beibehaltung einer Ebene der Verschlüsselung für die Verbindung.

    • Wie kann man es einstellen auf Server 2012?
    • Incoming NTLM traffic Einstellung ist genug. Audit Incoming NTLM Traffic nicht vermehren-audit-log und ist separat angemeldet Apps and Services Logs im Windows\NTLM\Operational aber es gibt keine IP-Adressen in diesen. LM authentication level hat auch keinen Einfluss auf NtLmSsp Anmeldeversuche.
    • Mit obigen Einstellungen nicht RDP mehr!
    • Hat bei mir nicht funktioniert. Immer noch keine IP in security logs.
    InformationsquelleAutor asteroid
  2. 8

    Asteroiden Antwort funktioniert, aber Sie MÜSSEN aktivieren Sie "Zulassen verbindungen von Computern mit einer beliebigen version von Remote Desktop (weniger sicher)" statt "Zulassen verbindungen nur von Computern, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene (sicherer)".

    NLA nicht verwenden, User32, aber verwendet NtLmSsp die sich auf LM-Antworten. Wenn es das ist, blockiert (wie in der Anleitung oben wird es tun), werden Sie am Ende mit ye olde "Die Lokale Sicherheitsautorität kann nicht kontaktiert werden."

    • Ich lese alle Antworten zunächst in der nächsten Zeit 🙁
    InformationsquelleAutor atmarx
Schreibe einen Kommentar