当我用ssl使用新的远程桌面,并尝试使用错误的凭据login时,它会按照预期logging一个4625事件。 问题是,它不loggingIP地址,所以我不能阻止我们的防火墙恶意login。 事件看起来像这样:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{00000000-0000-0000-0000-000000000000}" /> <EventID>4625</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2012-04-13T06:52:36.499113600Z" /> <EventRecordID>467553</EventRecordID> <Correlation /> <Execution ProcessID="544" ThreadID="596" /> <Channel>Security</Channel> <Computer>ontheinternet</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-0-0</Data> <Data Name="SubjectUserName">-</Data> <Data Name="SubjectDomainName">-</Data> <Data Name="SubjectLogonId">0x0</Data> <Data Name="TargetUserSid">S-1-0-0</Data> <Data Name="TargetUserName">notauser</Data> <Data Name="TargetDomainName">MYSERVER-PC</Data> <Data Name="Status">0xc000006d</Data> <Data Name="FailureReason">%%2313</Data> <Data Name="SubStatus">0xc0000064</Data> <Data Name="LogonType">3</Data> <Data Name="LogonProcessName">NtLmSsp</Data> <Data Name="AuthenticationPackageName">NTLM</Data> <Data Name="WorkstationName">MYSERVER-PC</Data> <Data Name="TransmittedServices">-</Data> <Data Name="LmPackageName">-</Data> <Data Name="KeyLength">0</Data> <Data Name="ProcessId">0x0</Data> <Data Name="ProcessName">-</Data> <Data Name="IpAddress">-</Data> <Data Name="IpPort">-</Data> </EventData> </Event> 这似乎是因为logintypes是3而不是像旧的rdp会话10,IP地址和其他信息不存储。
我试图连接的机器是在互联网上,而不是与服务器在同一networking上。
有没有人知道这个信息存储在哪里(以及什么其他事件与失败的login生成)?
任何帮助都感激不尽。
使用TLS / SSL作为RDP协议的encryption,Windows不logging试图login的用户的IP地址。当您configuration服务器使用(传统)RDPencryption对协议进行encryption时,会将IP地址写入安全事件日志。
你将不得不做一个权衡。 要么你将有一个不太安全的协议encryption,或者你永远不会知道潜在的攻击来源。 拥有正确的入侵检测系统(可以免费下载),系统会自动locking潜在的攻击者,经过一定次数的无效login。
有关RDP安全性和智能入侵检测和防御的更多信息,请访问: https ://cyberarms.net/security-blog/posts/2012/june/remote-desktop-logging-of-ip-address-(security-event- log- 4625)的.aspx
在secpol.msc打开Local Policies | Security Options Local Policies | Security Options设置Network security: Restrict NTLM: Incoming NTLM traffic Deny all accounts 。 这不能与NLA一起使用,但与SSL( mstsc.exe客户端顶栏上的SSL信息图标确认服务器标识)一起使用,并成功将源networking地址logging在审核日志中的失败事件ID 4625中。
这是我的日志
Oct 17 13:59:22 TS04.ucssaas.local rdp-farm: {"EventTime":"2015-10-17 13:59:22","Hostname":"TS04.ucssaas.local","Keywords":-9218868437227405312,"EventType":"AUDIT_FAILURE","SeverityValue":4,"Severity":"ERROR","EventID":4625,"SourceName":"Microsoft-Windows-Security-Auditing","ProviderGuid":"{54849625-5478-4994-A5BA-3E3B0328C30D}","Version":0,"Task":12544,"OpcodeValue":0,"RecordNumber":1366552,"ProcessID":568,"ThreadID":35244,"Channel":"Security","Category":"Logon","Opcode":"Info","SubjectUserSid":"S-1-0-0","SubjectUserName":"-","SubjectDomainName":"-","SubjectLogonId":"0x0","TargetUserSid":"S-1-0-0","TargetUserName":"wqw","TargetDomainName":"UCSSAAS","Status":"0xc000006d","FailureReason":"%%2313","SubStatus":"0xc000006a","LogonType":"3","LogonProcessName":"NtLmSsp ","AuthenticationPackageName":"NTLM","WorkstationName":"CVETKOV-C3414E6","TransmittedServices":"-","LmPackageName":"-","KeyLength":"0","ProcessName":"-","IpAddress":"-","IpPort":"-","EventReceivedTime":"2015-10-17 13:59:24","SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}#015
之后
Oct 17 14:00:36 TS02.ucssaas.local rdp-farm: {"EventTime":"2015-10-17 14:00:36","Hostname":"TS02.ucssaas.local","Keywords":-9218868437227405312,"EventType":"AUDIT_FAILURE","SeverityValue":4,"Severity":"ERROR","EventID":4625,"SourceName":"Microsoft-Windows-Security-Auditing","ProviderGuid":"{54849625-5478-4994-A5BA-3E3B0328C30D}","Version":0,"Task":12544,"OpcodeValue":0,"RecordNumber":2613410,"ProcessID":564,"ThreadID":17112,"Channel":"Security","Category":"Logon","Opcode":"Info","SubjectUserSid":"S-1-5-18","SubjectUserName":"TS02$","SubjectDomainName":"UCSSAAS","SubjectLogonId":"0x3e7","TargetUserSid":"S-1-0-0","TargetUserName":"wqw","TargetDomainName":"UCSSAAS","Status":"0xc000006d","FailureReason":"%%2313","SubStatus":"0xc000006a","LogonType":"10","LogonProcessName":"User32 ","AuthenticationPackageName":"Negotiate","WorkstationName":"TS02","TransmittedServices":"-","LmPackageName":"-","KeyLength":"0","ProcessName":"C:\\Windows\\System32\\winlogon.exe","IpAddress":"109.199.229.32","IpPort":"0","EventReceivedTime":"2015-10-17 14:00:37","SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}#015
基本来源WorkstationName将会丢失,现在它将显示RDSH服务器名称,但是您将交换IpAddress 。 这显示"LogonType":"3","LogonProcessName":"NtLmSsp ","AuthenticationPackageName":"NTLM"更改为"LogonType":"10","LogonProcessName":"User32 ","AuthenticationPackageName":"Negotiate"
我在多台Win2012 R2会话主机上使用此设置,并在Win XP计算机上使用来自mstsc.exe客户端的多个成功/失败login会话(最新的mstsc.exe版本6.1.7600 for XP)进行了testing。
(上面的日志来自于haproxy负载平衡器上的rsyslog,它从RDSH框中收集审计日志,这些RDSH框由JSON格式的nxlog服务转发。haproxy上有一个fail2ban监狱,在一些login失败后,通过IP阻止客户端尝试。)
我find了关于RDP会话日志文件的这篇文章。 我希望这对你有帮助。
http://forums.techarena.in/windows-security/838814.htm
我也没有看到一个 – 具体是什么问题?
根据主题进行猜测,检查Windows XP安全事件查看器日志。 可以使用组策略编辑器来configuration审核策略,以跟踪login成功和失败:从开始| 运行命令窗口typesgpedit.msc。 导航到本地计算机策略| 计算机configuration| Windows设置| 安全设置| 本地政策| 审计政策| 审核login事件。 突出显示并右键单击并select属性。 根据需要configuration。
请注意,无密码login被logging为失败。 如果您logging失败并且没有密码的用户,这会导致安全日志填满非常快。 结果是你无法正常login。 另外请注意,没有密码是潜在的和可能的安全风险。
事件日志可以通过转到开始|来查看 控制面板| 性能和维护| pipe理工具并点击事件查看器。
事件日志(安全)logging由远程用户成功login和注销。 用户可以突出显示日志条目并右键单击以查看事件属性以获取详细信息。
查看安全事件日志中的login/注销事件528和logintypes10。
免费的Microsoft Port Reporter工具提供了额外的日志logging。 Port Reporterparsing器(PR-Parser)工具的说明http://support.microsoft.com/default…b;en-us;884289
Port Reporter工具的可用性和说明http://support.microsoft.com/kb/837243