服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Windows服务器Wail2ban和文件夹共享不能一起工作 – 错误4625没有IP
Intereting Posts
什么是步骤来清除sendmail队列而无需重新启动? 请求静态内容时,IIS7返回空白 由于禁用了RAID控制器,HP ProLiant DL120 G7启动卡住了 你的(实体)桌上有什么? Apacheconfiguration – 重写所有虚拟主机的规则 没有IPv4地址分配给KVM虚拟机 安装SSL证书以在两台服务器之间build立SSL连接 无法在更新后重新启动mariadb 启用http2后,我的网站不再工作 我如何测量我的网站的数据传输量? networking攻击专用服务器 bind9重启失败 – 说权限错误 在SSD上恢复丢失的NTFS分区 如何debugging为什么systemd空转,并没有进行启动过程? MySQL不会停止做的东西

Windows服务器Wail2ban和文件夹共享不能一起工作 – 错误4625没有IP

我在虚拟机上安装了新的Windows Server 2012,我打算使用Wail2ban( https://github.com/glasnt/wail2ban )尝试阻止攻击服务器的人。

我已经成功添加了Wail2ban,现在我有这个工作,但它当然不是直截了当的。 我们需要在gpedit.msc中更改一些设置,以便使攻击主机的IP实际显示在事件查看器中。 事件中最初并没有显示任何来源地址。

通过改变三个设置我现在有这个工作,但我现在无法访问服务器上的共享文件。

我必须更改的一个设置是gpedit.msc->计算机configuration – > Windows设置 – >安全设置 – >本地策略 – >安全选项 – >networking安全:限制NTLM:传入NTLMstream量我已将此设置为“拒绝所有帐户“我在事件查看器中得到了攻击者ip,但我无法访问共享文件。 与其他设置“允许所有”/“拒绝所有域”我没有在事件查看器的IP,但我可以访问共享文件。

有没有人有任何想法,我可以如何工作,或者这只是一个不行?

我不认为有可能使用Wail2Ban而不进行源代码更改。 这就是我用nxlog和我的SpyLog服务解决这个问题的方法。 1.我从Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational event 140redirect。此事件具有IP地址。 我在这个答案中find了这个事件 

 <Input eventlog> Module im_msvistalog SavePos TRUE ReadFromLast TRUE Channel "Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational" <QueryXML> <QueryList> <Query Id="0" Path="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational"> <Select Path="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational">*[System[(EventID=140)]]</Select> </Query> </QueryList> </QueryXML> </Input> <Output spylog> Module om_udp Host 127.0.0.1 Port 614 Exec $raw_event = "EventID: " + $EventID + "; " + $Message; </Output> <Route 1> Path eventlog => spylog </Route>
  1. 在SpyLog中,我添加了新的filter 
 FILTER{ "nxlog-rdp"; enabled = true; source = "net:udp://127.0.0.1:614"; exclude = WHITE_IP; hint = "EventID: 140"; failregex = { "^EventID: 140; A connection from the client computer with an IP address of ([%d%.:]+)"; -- UTF8 "^EventID: 140; Не удалось подключить клиентский компьютер с IP%-адресом ([%d%.:]+)"; }; };

我现在有一些改动工作。

我已将NTLM设置更改为默认设置,除非您已经关注了其他文章并更改了这些设置,否则不需要这样做。

一位评论者向我指出了无源IP事件ID 4625的方向。 看起来在扩展日志中logging了IP,而不是在事件4625中。

我按照以下文章访问扩展日志并添加了Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational的registry项

然后,我在wail2ban.ps1文件中更改了一行,以允许使用这些日志 

 $EventTypes = "Application,Security,System,Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational" #Event logs we allow to be processed

我还必须更改wail2ban_config来添加日志文件,并引用事件typesID 

 # Wail2ban Configuration [Events] #[Security] #4625=RDP Logins #[Application] #18456=MSSQL Logins [Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational] 140=RDP Logins [Whitelist] # Add your whitelist here, in the format `IP = Comment` # Supports plain IPs , eg `12.34.56.78 = My Machine` # Also, ranges, eg `11.22.33.0/24 = My Company Range`

在这里添加[Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational]部分是重要的。

一旦我重新启动,所以registry更改可能会生效wail2ban开始按预期工作。

我发现wbemtest (put in run)在这里很有用,因为您可以查询日志并检查是否Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/OperationalWin32_NTLogEvent一部分

虽然我现在有这个工作,我会看看由@moteus提出的解决scheme,因为这看起来像一个有趣的解决scheme,这将是很容易移动和安装。

我想知道你究竟如何创造钥匙? 它是微软操作的嵌套树? 或在微软…你作为一个值types添加?

Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operationa

我尝试了第一个,重新启动后没有设法使红外工作仍然…

我试图通过Wbemtesttesting查询,但没有运气。 你能给我一些指导,从哪里开始看这个?

我也想知道你是否pipe理好了BannedIPLog.ini工作。

谢谢。