查看我们的 NPS 日志,我发现我们受到了重创;一些在线参与者正在对各种登录名和密码进行暴力破解。
总体来说,这还不算什么问题……目前看来,似乎没有发生违规行为(尤其是因为这不是一次登录尝试多次,而是随机登录名)。
然而,我发现了一些关键问题,但目前我还不确定如何解决。
- 托管 NPS 的服务器负责针对我们的 DC 进行身份验证,它包含(有些老式的)日志。不幸的是,我发现这些尝试的源 IP 是我们的防火墙,而不是任何在线源,我有点怀疑我们的防火墙是否已被破解。由于我们正在处理 SSTP 协议,我必须设置 DNAT 规则;据我了解,此规则应该传递源 IP,但查看日志似乎并非如此。DNAT 规则不应该传递源 IP 吗?如果不是,那么我应该设置什么样的防火墙规则才能使日志记录正常工作?
- 查看成功的身份验证请求,我看不出有任何方法可以找到它们被分配了哪个 IP。我当然可以查看 SSTP 服务器本身以查看活动连接,但如果过去发生过某些事情,则似乎信息已丢失。很有可能我需要先启用某些功能来保存该信息,但我已经查看过了,却找不到任何东西。SSTP 属性有一个“日志记录”部分,但似乎不起作用。目标文件 (
%windir%\tracing\RaMgmtUIMon.log) 似乎是空的。 - 有没有办法为 SSTP 实现某种“反攻击”系统