Anmeldeereignis 4625 für Remotedesktop fehlgeschlagen, das die IP-Adresse auf dem 2008 Terminal Services-Server nicht protokolliert

7

Wenn ich den neuen Remotedesktop mit ssl verwende und versuche, mich mit falschen Anmeldeinformationen anzumelden, wird erwartungsgemäß ein 4625-Ereignis protokolliert. Das Problem ist, dass die IP-Adresse nicht protokolliert wird, sodass ich keine böswilligen Anmeldungen in unserer Firewall blockieren kann. Die Veranstaltung sieht folgendermaßen aus:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{00000000-0000-0000-0000-000000000000}" /> 
        <EventID>4625</EventID> 
        <Version>0</Version> 
        <Level>0</Level> 
        <Task>12544</Task> 
        <Opcode>0</Opcode> 
        <Keywords>0x8010000000000000</Keywords> 
        <TimeCreated SystemTime="2012-04-13T06:52:36.499113600Z" /> 
        <EventRecordID>467553</EventRecordID> 
        <Correlation /> 
        <Execution ProcessID="544" ThreadID="596" /> 
        <Channel>Security</Channel> 
        <Computer>ontheinternet</Computer> 
        <Security /> 
    </System>
    <EventData>
        <Data Name="SubjectUserSid">S-1-0-0</Data> 
        <Data Name="SubjectUserName">-</Data> 
        <Data Name="SubjectDomainName">-</Data> 
        <Data Name="SubjectLogonId">0x0</Data> 
        <Data Name="TargetUserSid">S-1-0-0</Data> 
        <Data Name="TargetUserName">notauser</Data> 
        <Data Name="TargetDomainName">MYSERVER-PC</Data> 
        <Data Name="Status">0xc000006d</Data> 
        <Data Name="FailureReason">%%2313</Data> 
        <Data Name="SubStatus">0xc0000064</Data> 
        <Data Name="LogonType">3</Data> 
        <Data Name="LogonProcessName">NtLmSsp</Data> 
        <Data Name="AuthenticationPackageName">NTLM</Data> 
        <Data Name="WorkstationName">MYSERVER-PC</Data> 
        <Data Name="TransmittedServices">-</Data> 
        <Data Name="LmPackageName">-</Data> 
        <Data Name="KeyLength">0</Data> 
        <Data Name="ProcessId">0x0</Data> 
        <Data Name="ProcessName">-</Data> 
        <Data Name="IpAddress">-</Data> 
        <Data Name="IpPort">-</Data> 
    </EventData>
</Event>

Es scheint, dass der Anmeldetyp 3 und nicht 10 ist, wie bei den alten RDP-Sitzungen, die IP-Adresse und andere Informationen nicht gespeichert werden.

Der Computer, von dem aus ich eine Verbindung herstellen möchte, befindet sich im Internet und nicht im selben Netzwerk wie der Server.

Weiß jemand, wo diese Informationen gespeichert sind (und welche anderen Ereignisse bei einer fehlgeschlagenen Anmeldung generiert werden)?

Jede Hilfe wird sehr geschätzt.

Zone12
quelle
Ich habe eine Möglichkeit gefunden, die IP-Adresse eines fehlgeschlagenen RDP-Versuchs mit aktiviertem NLA (TLS / SSL) aus dem Ereignisprotokoll
abzurufen

Antworten:

7

Bei Verwendung von TLS / SSL als Verschlüsselung für das RDP-Protokoll protokolliert Windows nicht die IP-Adresse des Benutzers, der versucht, sich anzumelden. Wenn Sie den Server so konfigurieren, dass das Protokoll mit der (älteren) RDP-Verschlüsselung verschlüsselt wird, schreibt er die IP-Adresse in das Sicherheitsereignisprotokoll.

Sie müssen einen Kompromiss eingehen. Entweder haben Sie eine weniger sichere Protokollverschlüsselung oder Sie kennen nie die Quelle eines möglichen Angriffs. Mit dem richtigen Intrusion Detection-System (kann kostenlos heruntergeladen werden) sperrt das System den potenziellen Angreifer nach einer definierten Anzahl ungültiger Anmeldungen automatisch aus.

Weitere Informationen zur RDP-Sicherheit und zur intelligenten Erkennung und Verteidigung von Eindringlingen finden Sie hier: https://cyberarms.net/security-blog/posts/2012/june/remote-desktop-logging-of-ip-address-(security-event-log- 4625) .aspx

Max
quelle
Hör auf, FUD zu verbreiten! Zu Ihrer Information, siehe meine Antwort zur Verwendung von SSL (dh bestätigte Serveridentität ohne Warnungen auf Clients) und Abrufen der Quellnetzwerkadresse in der Ereignis-ID 4625 im Überwachungsprotokoll.
wqw
Ich glaube nicht, dass dies in Win10 zutrifft, da mein Honeypot RDP-Erfolge und -Fehler ohne Protokoll protokolliert, mit IPs und aktiviertem TLS.
user145837
3

Im secpol.mscoffenen Local Policies | Security OptionsSatz Network security: Restrict NTLM: Incoming NTLM trafficauf Deny all accounts. Dies kann nicht mit NLA verwendet werden, funktioniert jedoch mit SSL (das SSL-Infosymbol in der oberen Leiste des mstsc.exeClients bestätigt die Serveridentität ) und zeichnet die Quellnetzwerkadresse erfolgreich in der fehlgeschlagenen Ereignis-ID 4625 im Überwachungsprotokoll auf.

Hier ist mein vorheriges Protokoll

Oct 17 13:59:22 TS04.ucssaas.local rdp-farm: {"EventTime":"2015-10-17 13:59:22","Hostname":"TS04.ucssaas.local","Keywords":-9218868437227405312,"EventType":"AUDIT_FAILURE","SeverityValue":4,"Severity":"ERROR","EventID":4625,"SourceName":"Microsoft-Windows-Security-Auditing","ProviderGuid":"{54849625-5478-4994-A5BA-3E3B0328C30D}","Version":0,"Task":12544,"OpcodeValue":0,"RecordNumber":1366552,"ProcessID":568,"ThreadID":35244,"Channel":"Security","Category":"Logon","Opcode":"Info","SubjectUserSid":"S-1-0-0","SubjectUserName":"-","SubjectDomainName":"-","SubjectLogonId":"0x0","TargetUserSid":"S-1-0-0","TargetUserName":"wqw","TargetDomainName":"UCSSAAS","Status":"0xc000006d","FailureReason":"%%2313","SubStatus":"0xc000006a","LogonType":"3","LogonProcessName":"NtLmSsp ","AuthenticationPackageName":"NTLM","WorkstationName":"CVETKOV-C3414E6","TransmittedServices":"-","LmPackageName":"-","KeyLength":"0","ProcessName":"-","IpAddress":"-","IpPort":"-","EventReceivedTime":"2015-10-17 13:59:24","SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}#015

und danach

Oct 17 14:00:36 TS02.ucssaas.local rdp-farm: {"EventTime":"2015-10-17 14:00:36","Hostname":"TS02.ucssaas.local","Keywords":-9218868437227405312,"EventType":"AUDIT_FAILURE","SeverityValue":4,"Severity":"ERROR","EventID":4625,"SourceName":"Microsoft-Windows-Security-Auditing","ProviderGuid":"{54849625-5478-4994-A5BA-3E3B0328C30D}","Version":0,"Task":12544,"OpcodeValue":0,"RecordNumber":2613410,"ProcessID":564,"ThreadID":17112,"Channel":"Security","Category":"Logon","Opcode":"Info","SubjectUserSid":"S-1-5-18","SubjectUserName":"TS02$","SubjectDomainName":"UCSSAAS","SubjectLogonId":"0x3e7","TargetUserSid":"S-1-0-0","TargetUserName":"wqw","TargetDomainName":"UCSSAAS","Status":"0xc000006d","FailureReason":"%%2313","SubStatus":"0xc000006a","LogonType":"10","LogonProcessName":"User32 ","AuthenticationPackageName":"Negotiate","WorkstationName":"TS02","TransmittedServices":"-","LmPackageName":"-","KeyLength":"0","ProcessName":"C:\\Windows\\System32\\winlogon.exe","IpAddress":"109.199.229.32","IpPort":"0","EventReceivedTime":"2015-10-17 14:00:37","SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}#015

Grundsätzlich geht die Quelle WorkstationNameverloren und jetzt wird stattdessen der RDSH-Servername angezeigt, aber Sie erhalten IpAddressim Austausch. Dies zeigt, dass die darunter vorgenommene "LogonType":"3","LogonProcessName":"NtLmSsp ","AuthenticationPackageName":"NTLM"Änderung in geändert wurde"LogonType":"10","LogonProcessName":"User32 ","AuthenticationPackageName":"Negotiate"

Ich verwende diese Einstellung auf mehreren Win2012 R2-Sitzungshosts und habe Tests mit mehreren erfolgreichen / fehlgeschlagenen Anmeldesitzungen von mstsc.exeClients auf Win XP-Computern (neueste mstsc.exeVersion 6.1.7600 für XP) durchgeführt.

(Das obige Protokoll stammt von rsyslog auf einem Haproxy-Load-Balancer, der Überwachungsprotokolle von RDSH-Boxen sammelt, die vom nxlog-Dienst im JSON-Format weitergeleitet werden. Auf dem Haproxy befindet sich ein fail2ban-Gefängnis, das Clients nach einer Anzahl fehlgeschlagener Anmeldungen nach IP blockiert Versuche.)

wqw
quelle
Ich habe alle Updates sowohl auf dem Server (Win2k12R2) als auch auf dem Client (Win10) installiert. Wenn ich diese Anweisungen befolge, wird beim Anmelden der folgende Fehler angezeigt: "Ein Authentifizierungsfehler ist aufgetreten. Die angeforderte Funktion wird nicht unterstützt. Dies könnte der Fall sein Dies ist auf die Korrektur der CredSSP-Verschlüsselung zurückzuführen. Weitere Informationen finden Sie unter go.microsoft.com/fwlink/?linkid=866660 "
voraussichtlich
Ich verwende dieses Setup in der Produktion in einer AD-Domäne mit einem separaten RD-Verbindungsbrokerserver für die RD-Farm. Ich bin mir nicht sicher, welcher den Unterschied ausmacht.
wqw
0

Ich habe diesen Artikel über Protokolldateien für RDP-Sitzungen gefunden. Ich hoffe es wird dir hilfreich sein.

http://forums.techarena.in/windows-security/838814.htm

Ich sehe auch keine - was ist das Problem konkret?

Überprüfen Sie anhand des Betreffs das Windows XP Security Event Viewer-Protokoll. Eine Überwachungsrichtlinie kann mithilfe des Gruppenrichtlinien-Editors konfiguriert werden, um Erfolg und Fehler bei der Anmeldung zu verfolgen: Von Anfang an | Führen Sie den Befehlsfenstertyp gpedit.msc aus. Navigieren Sie zu Local Computer Policy | Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Prüfungsrichtlinien | Anmeldeereignisse überwachen. Markieren und klicken Sie mit der rechten Maustaste und wählen Sie Eigenschaften aus. Nach Wunsch konfigurieren.

Beachten Sie, dass die Anmeldung ohne Kennwort als Fehler protokolliert wird. Dies führt dazu, dass das Sicherheitsprotokoll sehr schnell gefüllt wird, wenn Sie Fehler protokollieren und einen Benutzer ohne Kennwort haben. Das Ergebnis ist, dass Sie sich nicht normal anmelden können. Beachten Sie auch, dass das Fehlen eines Passworts ein potenzielles und wahrscheinliches Sicherheitsrisiko darstellt.

Das Ereignisprotokoll kann unter Start | angezeigt werden Systemsteuerung | Leistung und Wartung Verwaltung und klicken Sie auf Ereignisanzeige.

Das Ereignisprotokoll (Sicherheit), das eine erfolgreiche An- und Abmeldung durch einen Remotebenutzer feststellt. Der Benutzer kann einen Protokolleintrag markieren und mit der rechten Maustaste klicken, um die Ereigniseigenschaften für detaillierte Informationen anzuzeigen.

Suchen Sie im Sicherheitsereignisprotokoll nach einem Anmelde- / Abmeldeereignis 528 und einem Anmeldetyp 10.

Das kostenlose Microsoft Port Reporter-Tool bietet zusätzliche Protokollierung. Beschreibung des PR-Parser-Tools (Port Reporter Parser) http://support.microsoft.com/default...b;en-us;884289

Verfügbarkeit und Beschreibung des Port Reporter-Tools http://support.microsoft.com/kb/837243

Vitali Tikaev
quelle