当我使用带有ssl的新远程桌面并尝试使用错误的凭据登录时,它会按预期记录4625事件.问题是,它没有记录IP地址,所以我无法阻止我们的防火墙中的恶意登录.事件如下:
@H_403_14@
使用TLS / SSL作为RDP协议的加密,Windows不会记录尝试登录的用户的IP地址.当您将服务器配置为使用(旧版)RDP加密对协议进行加密时,它会将IP地址写入安全事件日志.
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{00000000-0000-0000-0000-000000000000}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2012-04-13T06:52:36.499113600Z" />
<EventRecordID>467553</EventRecordID>
<Correlation />
<Execution ProcessID="544" ThreadID="596" />
<Channel>Security</Channel>
<Computer>ontheinternet</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectlogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">notauser</Data>
<Data Name="TargetDomainName">MYSERVER-PC</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="logonType">3</Data>
<Data Name="logonProcessName">NtLmSsp</Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">MYSERVER-PC</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
看起来因为登录类型是3而不是像旧的rdp会话那样10,所以不存储ip地址和其他信息.
我试图连接的机器是在互联网上,而不是与服务器在同一网络上.
有谁知道这些信息的存储位置(以及登录失败时生成的其他事件)?
任何帮助都感激不尽.
你将不得不做出权衡.要么您的协议加密安全性较低,要么您永远不会知道潜在攻击的来源.拥有正确的入侵检测系统(可以免费下载),系统将在定义数量的无效登录后自动锁定潜在的攻击者.
在此处阅读有关RDP安全性和智能入侵检测与防御的更多信息:https://cyberarms.net/security-blog/posts/2012/june/remote-desktop-logging-of-ip-address-(security-event-log-4625).aspx
