那些遇到过的问题

远程桌面登录失败事件 4625 未在 2008 终端服务服务器上记录 IP 地址

Zon*_*e12 7 terminal-server logging windows-server-2008-r2

当我使用带有 ssl 的新远程桌面并尝试使用错误凭据登录时,它会按预期记录 4625 事件。问题是,它没有记录 IP 地址,所以我无法在我们的防火墙中阻止恶意登录。事件看起来像这样:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{00000000-0000-0000-0000-000000000000}" /> 
        <EventID>4625</EventID> 
        <Version>0</Version> 
        <Level>0</Level> 
        <Task>12544</Task> 
        <Opcode>0</Opcode> 
        <Keywords>0x8010000000000000</Keywords> 
        <TimeCreated SystemTime="2012-04-13T06:52:36.499113600Z" /> 
        <EventRecordID>467553</EventRecordID> 
        <Correlation /> 
        <Execution ProcessID="544" ThreadID="596" /> 
        <Channel>Security</Channel> 
        <Computer>ontheinternet</Computer> 
        <Security /> 
    </System>
    <EventData>
        <Data Name="SubjectUserSid">S-1-0-0</Data> 
        <Data Name="SubjectUserName">-</Data> 
        <Data Name="SubjectDomainName">-</Data> 
        <Data Name="SubjectLogonId">0x0</Data> 
        <Data Name="TargetUserSid">S-1-0-0</Data> 
        <Data Name="TargetUserName">notauser</Data> 
        <Data Name="TargetDomainName">MYSERVER-PC</Data> 
        <Data Name="Status">0xc000006d</Data> 
        <Data Name="FailureReason">%%2313</Data> 
        <Data Name="SubStatus">0xc0000064</Data> 
        <Data Name="LogonType">3</Data> 
        <Data Name="LogonProcessName">NtLmSsp</Data> 
        <Data Name="AuthenticationPackageName">NTLM</Data> 
        <Data Name="WorkstationName">MYSERVER-PC</Data> 
        <Data Name="TransmittedServices">-</Data> 
        <Data Name="LmPackageName">-</Data> 
        <Data Name="KeyLength">0</Data> 
        <Data Name="ProcessId">0x0</Data> 
        <Data Name="ProcessName">-</Data> 
        <Data Name="IpAddress">-</Data> 
        <Data Name="IpPort">-</Data> 
    </EventData>
</Event>
Run Code Online (Sandbox Code Playgroud)

似乎是因为登录类型是 3 而不是像旧的 rdp 会话那样是 10,所以没有存储 ip 地址和其他信息。

我试图连接的机器在互联网上,而不是与服务器在同一个网络上。

有谁知道这些信息存储在哪里(以及登录失败会生成哪些其他事件)?

任何帮助都感激不尽。

小智 8

使用 TLS/SSL 作为 RDP 协议的加密,Windows 不会记录尝试登录的用户的 IP 地址。当您将服务器配置为使用(传统)RDP 加密来加密协议时,它会将 IP 地址写入安全事件日志。

您将不得不做出权衡。要么您将使用不太安全的协议加密,要​​么您永远不会知道潜在攻击的来源。拥有正确的入侵检测系统(可以免费下载),系统会在指定数量的无效登录后自动锁定潜在攻击者。

在此处阅读有关 RDP 安全和智能入侵检测和防御的更多信息:https ://cyberarms.net/security-blog/posts/2012/june/remote-desktop-logging-of-ip-address-(security-event- log- 4625).aspx

小智 0

我找到了这篇有关 RDP 会话日志文件的文章。希望对您有所帮助。

http://forums.techarena.in/windows-security/838814.htm

我也没有看到 - 具体是什么问题?

根据主题进行猜测,请检查 Windows XP 安全事件查看器日志。可以使用组策略编辑器配置审核策略来跟踪登录成功和失败:从开始| 运行命令窗口类型 gpedit.msc。导航至本地计算机策略 | 电脑配置| Windows 设置 | 安全设置| 当地政策 | 审计政策| 审核登录事件。突出显示并右键单击并选择属性。根据需要进行配置。

请注意,没有密码登录将被记录为失败。如果您记录失败并且用户没有密码,这会导致安全日志很快填满。结果就是无法正常登录。另请注意,没有密码是一种潜在且可能的安全风险。

可以通过转到“开始”|“事件日志”来查看事件日志。控制面板| 性能与维护| 管理工具并单击事件查看器。

事件日志(安全)记录远程用户成功登录和注销。用户可以突出显示日志条目并右键单击以查看事件属性以获取详细信息。

在安全事件日志中查找登录/注销事件 528 和登录类型 10。

免费的 Microsoft Port Reporter 工具提供额外的日志记录。端口报告解析器 (PR-Parser) 工具的说明 http://support.microsoft.com/default...b;en-us;884289

端口报告器工具的可用性和说明 http://support.microsoft.com/kb/837243

归档时间:

查看次数:

34545 次

最近记录:

9 年,3 月 前
没有源 IP 的事件 ID 4625 10
更多相关链接
相关归档
您将日志文件保留多长时间? 13
Apparmor 拒绝 ntpd 访问其自己的日志 5
SQL Server 的 Kerberos 配置管理器错误“无法从系统访问用户主体信息” 5
在 RD 会话主机服务器上使用强制配置文件 5
Ubuntu - 为什么 /var/log/dmesg 会在启动后停止更新?不显示控制台显示的 panic/cpu_hung 错误 4
Windows 2008 R2 跨域共享文件夹显示 &lt;未知联系人&gt; 4
TFTP-hpa 未登录 docker 容器 3
如何在为时已晚之前克隆出现故障的 Server 2008 R2 硬盘驱动器 2
如何让 haproxy 登录到 systemd/journald? 2
您如何跟踪您公司的计算机? 1
难疑归档
还有其他人在闰日期间遇到过 Linux 服务器崩溃率很​​高的情况吗? 363
如何重新连接到断开连接的 ssh 会话 185
网络现在比磁盘快吗? 146
系统管理员职位的乔尔测试 142
如何使用 nginx proxy_pass 删除路径 128
我可以在一个网络上有多个 DHCP 服务器吗? 102
Windows Active Directory 命名最佳实践? 94
软件与硬件 RAID 性能和缓存使用情况 84
`curl -I` 和 `curl -X HEAD` 之间的区别 83
如何为影子创建 SHA-512 哈希密码? 67