当我使用带有 SSL 的新远程桌面并尝试使用错误凭据登录时,它会按预期记录 4625 事件。问题是,它不记录 IP 地址,所以我无法在我们的防火墙中阻止恶意登录。事件如下所示:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{00000000-0000-0000-0000-000000000000}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2012-04-13T06:52:36.499113600Z" />
<EventRecordID>467553</EventRecordID>
<Correlation />
<Execution ProcessID="544" ThreadID="596" />
<Channel>Security</Channel>
<Computer>ontheinternet</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">notauser</Data>
<Data Name="TargetDomainName">MYSERVER-PC</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp</Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">MYSERVER-PC</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
似乎是因为登录类型是 3 而不是像旧的 rdp 会话那样的 10,所以没有存储 ip 地址和其他信息。
我尝试连接的机器位于互联网上,而不是与服务器位于同一网络上。
有人知道这些信息存储在哪里(以及登录失败会产生哪些其他事件)吗?
任何帮助都感激不尽。
答案1
使用 TLS/SSL 作为 RDP 协议的加密,Windows 不会记录尝试登录的用户的 IP 地址。当您将服务器配置为使用(传统)RDP 加密来加密协议时,它会将 IP 地址写入安全事件日志。
您必须做出权衡。要么使用不太安全的协议加密,要么永远不知道潜在攻击的来源。有了正确的入侵检测系统(可以免费下载),系统会在一定数量的无效登录后自动锁定潜在攻击者。
在此处阅读有关 RDP 安全性和智能入侵检测和防御的更多信息:https://cyberarms.net/security-blog/posts/2012/june/remote-desktop-logging-of-ip-address-(security-event-log-4625).aspx
答案2
在secpol.msc打开时Local Policies | Security Options设置Network security: Restrict NTLM: Incoming NTLM traffic为Deny all accounts。这不能与 NLA 一起使用,但可以与 SSL 一起使用(客户端顶栏上的 SSL 信息图标mstsc.exe确认服务器身份)并成功在审计日志中的失败事件 ID 4625 中记录源网络地址。
这是我之前的日志
Oct 17 13:59:22 TS04.ucssaas.local rdp-farm: {"EventTime":"2015-10-17 13:59:22","Hostname":"TS04.ucssaas.local","Keywords":-9218868437227405312,"EventType":"AUDIT_FAILURE","SeverityValue":4,"Severity":"ERROR","EventID":4625,"SourceName":"Microsoft-Windows-Security-Auditing","ProviderGuid":"{54849625-5478-4994-A5BA-3E3B0328C30D}","Version":0,"Task":12544,"OpcodeValue":0,"RecordNumber":1366552,"ProcessID":568,"ThreadID":35244,"Channel":"Security","Category":"Logon","Opcode":"Info","SubjectUserSid":"S-1-0-0","SubjectUserName":"-","SubjectDomainName":"-","SubjectLogonId":"0x0","TargetUserSid":"S-1-0-0","TargetUserName":"wqw","TargetDomainName":"UCSSAAS","Status":"0xc000006d","FailureReason":"%%2313","SubStatus":"0xc000006a","LogonType":"3","LogonProcessName":"NtLmSsp ","AuthenticationPackageName":"NTLM","WorkstationName":"CVETKOV-C3414E6","TransmittedServices":"-","LmPackageName":"-","KeyLength":"0","ProcessName":"-","IpAddress":"-","IpPort":"-","EventReceivedTime":"2015-10-17 13:59:24","SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}#015
之后
Oct 17 14:00:36 TS02.ucssaas.local rdp-farm: {"EventTime":"2015-10-17 14:00:36","Hostname":"TS02.ucssaas.local","Keywords":-9218868437227405312,"EventType":"AUDIT_FAILURE","SeverityValue":4,"Severity":"ERROR","EventID":4625,"SourceName":"Microsoft-Windows-Security-Auditing","ProviderGuid":"{54849625-5478-4994-A5BA-3E3B0328C30D}","Version":0,"Task":12544,"OpcodeValue":0,"RecordNumber":2613410,"ProcessID":564,"ThreadID":17112,"Channel":"Security","Category":"Logon","Opcode":"Info","SubjectUserSid":"S-1-5-18","SubjectUserName":"TS02$","SubjectDomainName":"UCSSAAS","SubjectLogonId":"0x3e7","TargetUserSid":"S-1-0-0","TargetUserName":"wqw","TargetDomainName":"UCSSAAS","Status":"0xc000006d","FailureReason":"%%2313","SubStatus":"0xc000006a","LogonType":"10","LogonProcessName":"User32 ","AuthenticationPackageName":"Negotiate","WorkstationName":"TS02","TransmittedServices":"-","LmPackageName":"-","KeyLength":"0","ProcessName":"C:\\Windows\\System32\\winlogon.exe","IpAddress":"109.199.229.32","IpPort":"0","EventReceivedTime":"2015-10-17 14:00:37","SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}#015
基本上源WorkstationName丢失了,现在它显示 RDSH 服务器名称,但你得到了IpAddress交换。这表明下面发生的变化"LogonType":"3","LogonProcessName":"NtLmSsp ","AuthenticationPackageName":"NTLM"已更改为"LogonType":"10","LogonProcessName":"User32 ","AuthenticationPackageName":"Negotiate"
我在多个 Win2012 R2 会话主机上使用此设置,并对mstsc.exeWin XP 机器(mstsc.exeXP 的最新版本为 6.1.7600)上的客户端的几次成功/失败的登录会话进行了测试。
(上面的日志来自 haproxy 负载均衡器上的 rsyslog,它从 RDSH 盒中收集审计日志,这些日志由 nxlog 服务以 JSON 格式转发。haproxy 上有一个 fail2ban jail,在多次登录尝试失败后,它会通过 IP 阻止客户端。)
答案3
我找到了这篇有关 RDP 会话日志文件的文章。希望它对你有帮助。
http://forums.techarena.in/windows-security/838814.htm
我也没有看到——具体是什么问题?
根据主题进行猜测,检查 Windows XP 安全事件查看器日志。可以使用组策略编辑器配置审核策略以跟踪登录成功和失败:从开始 | 运行命令窗口输入 gpedit.msc。导航到本地计算机策略 | 计算机配置 | Windows 设置 | 安全设置 | 本地策略 | 审核策略 | 审核登录事件。突出显示并右键单击并选择属性。根据需要配置。
请注意,没有密码登录将被记录为失败。如果您记录失败并且用户没有密码,则安全日志会很快填满。结果是您无法正常登录。另请注意,没有密码是一种潜在的和可能的安全风险。
可以通过转到“开始”|“控制面板”|“性能和维护”|“管理工具”,然后单击“事件查看器”来查看事件日志。
事件日志(安全)记录远程用户成功登录和注销。用户可以突出显示日志条目并右键单击以查看事件属性以获取详细信息。
在安全事件日志中查找登录/注销事件 528 和登录类型 10。
免费的 Microsoft Port Reporter 工具提供额外的日志记录。Port Reporter Parser (PR-Parser) 工具的描述 http://support.microsoft.com/default...b;en-us;884289
Port Reporter 工具的可用性和说明 http://support.microsoft.com/kb/837243