Wenn ich den neuen Remotedesktop mit ssl verwende und versuche, mich mit falschen Anmeldeinformationen anzumelden, wird erwartungsgemäß ein 4625-Ereignis protokolliert. Das Problem ist, dass die IP-Adresse nicht protokolliert wird, sodass ich keine böswilligen Anmeldungen in unserer Firewall blockieren kann. Die Veranstaltung sieht folgendermaßen aus:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{00000000-0000-0000-0000-000000000000}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2012-04-13T06:52:36.499113600Z" />
<EventRecordID>467553</EventRecordID>
<Correlation />
<Execution ProcessID="544" ThreadID="596" />
<Channel>Security</Channel>
<Computer>ontheinternet</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">notauser</Data>
<Data Name="TargetDomainName">MYSERVER-PC</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp</Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">MYSERVER-PC</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
Es scheint, dass der Anmeldetyp 3 und nicht 10 ist, wie bei den alten RDP-Sitzungen, die IP-Adresse und andere Informationen nicht gespeichert werden.
Der Computer, von dem aus ich eine Verbindung herstellen möchte, befindet sich im Internet und nicht im selben Netzwerk wie der Server.
Weiß jemand, wo diese Informationen gespeichert sind (und welche anderen Ereignisse bei einer fehlgeschlagenen Anmeldung generiert werden)?
Jede Hilfe wird sehr geschätzt.
Antworten:
Bei Verwendung von TLS / SSL als Verschlüsselung für das RDP-Protokoll protokolliert Windows nicht die IP-Adresse des Benutzers, der versucht, sich anzumelden. Wenn Sie den Server so konfigurieren, dass das Protokoll mit der (älteren) RDP-Verschlüsselung verschlüsselt wird, schreibt er die IP-Adresse in das Sicherheitsereignisprotokoll.
Sie müssen einen Kompromiss eingehen. Entweder haben Sie eine weniger sichere Protokollverschlüsselung oder Sie kennen nie die Quelle eines möglichen Angriffs. Mit dem richtigen Intrusion Detection-System (kann kostenlos heruntergeladen werden) sperrt das System den potenziellen Angreifer nach einer definierten Anzahl ungültiger Anmeldungen automatisch aus.
Weitere Informationen zur RDP-Sicherheit und zur intelligenten Erkennung und Verteidigung von Eindringlingen finden Sie hier: https://cyberarms.net/security-blog/posts/2012/june/remote-desktop-logging-of-ip-address-(security-event-log- 4625) .aspx
quelle
Im
secpol.msc
offenenLocal Policies | Security Options
SatzNetwork security: Restrict NTLM: Incoming NTLM traffic
aufDeny all accounts
. Dies kann nicht mit NLA verwendet werden, funktioniert jedoch mit SSL (das SSL-Infosymbol in der oberen Leiste desmstsc.exe
Clients bestätigt die Serveridentität ) und zeichnet die Quellnetzwerkadresse erfolgreich in der fehlgeschlagenen Ereignis-ID 4625 im Überwachungsprotokoll auf.Hier ist mein vorheriges Protokoll
und danach
Grundsätzlich geht die Quelle
WorkstationName
verloren und jetzt wird stattdessen der RDSH-Servername angezeigt, aber Sie erhaltenIpAddress
im Austausch. Dies zeigt, dass die darunter vorgenommene"LogonType":"3","LogonProcessName":"NtLmSsp ","AuthenticationPackageName":"NTLM"
Änderung in geändert wurde"LogonType":"10","LogonProcessName":"User32 ","AuthenticationPackageName":"Negotiate"
Ich verwende diese Einstellung auf mehreren Win2012 R2-Sitzungshosts und habe Tests mit mehreren erfolgreichen / fehlgeschlagenen Anmeldesitzungen von
mstsc.exe
Clients auf Win XP-Computern (neuestemstsc.exe
Version 6.1.7600 für XP) durchgeführt.(Das obige Protokoll stammt von rsyslog auf einem Haproxy-Load-Balancer, der Überwachungsprotokolle von RDSH-Boxen sammelt, die vom nxlog-Dienst im JSON-Format weitergeleitet werden. Auf dem Haproxy befindet sich ein fail2ban-Gefängnis, das Clients nach einer Anzahl fehlgeschlagener Anmeldungen nach IP blockiert Versuche.)
quelle
Ich habe diesen Artikel über Protokolldateien für RDP-Sitzungen gefunden. Ich hoffe es wird dir hilfreich sein.
http://forums.techarena.in/windows-security/838814.htm
Ich sehe auch keine - was ist das Problem konkret?
Überprüfen Sie anhand des Betreffs das Windows XP Security Event Viewer-Protokoll. Eine Überwachungsrichtlinie kann mithilfe des Gruppenrichtlinien-Editors konfiguriert werden, um Erfolg und Fehler bei der Anmeldung zu verfolgen: Von Anfang an | Führen Sie den Befehlsfenstertyp gpedit.msc aus. Navigieren Sie zu Local Computer Policy | Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Prüfungsrichtlinien | Anmeldeereignisse überwachen. Markieren und klicken Sie mit der rechten Maustaste und wählen Sie Eigenschaften aus. Nach Wunsch konfigurieren.
Beachten Sie, dass die Anmeldung ohne Kennwort als Fehler protokolliert wird. Dies führt dazu, dass das Sicherheitsprotokoll sehr schnell gefüllt wird, wenn Sie Fehler protokollieren und einen Benutzer ohne Kennwort haben. Das Ergebnis ist, dass Sie sich nicht normal anmelden können. Beachten Sie auch, dass das Fehlen eines Passworts ein potenzielles und wahrscheinliches Sicherheitsrisiko darstellt.
Das Ereignisprotokoll kann unter Start | angezeigt werden Systemsteuerung | Leistung und Wartung Verwaltung und klicken Sie auf Ereignisanzeige.
Das Ereignisprotokoll (Sicherheit), das eine erfolgreiche An- und Abmeldung durch einen Remotebenutzer feststellt. Der Benutzer kann einen Protokolleintrag markieren und mit der rechten Maustaste klicken, um die Ereigniseigenschaften für detaillierte Informationen anzuzeigen.
Suchen Sie im Sicherheitsereignisprotokoll nach einem Anmelde- / Abmeldeereignis 528 und einem Anmeldetyp 10.
Das kostenlose Microsoft Port Reporter-Tool bietet zusätzliche Protokollierung. Beschreibung des PR-Parser-Tools (Port Reporter Parser) http://support.microsoft.com/default...b;en-us;884289
Verfügbarkeit und Beschreibung des Port Reporter-Tools http://support.microsoft.com/kb/837243
quelle