Evento de logon com falha na área de trabalho remota 4625 não registrando o endereço IP no servidor dos Serviços de Terminal 2008

Question

Evento de logon com falha na área de trabalho remota 4625 não registrando o endereço IP no servidor dos Serviços de Terminal 2008

#1 resposta do (7 votos)
#2 resposta do (2 votos)
#3 resposta do (0 votos)

6

Quando uso a nova área de trabalho remota com ssl e tento fazer logon com credenciais incorretas, ele registra um evento 4625 conforme o esperado. O problema é que ele não registra o endereço IP, portanto, não posso bloquear logons maliciosos em nosso firewall. O evento é assim:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{00000000-0000-0000-0000-000000000000}" /> 
        <EventID>4625</EventID> 
        <Version>0</Version> 
        <Level>0</Level> 
        <Task>12544</Task> 
        <Opcode>0</Opcode> 
        <Keywords>0x8010000000000000</Keywords> 
        <TimeCreated SystemTime="2012-04-13T06:52:36.499113600Z" /> 
        <EventRecordID>467553</EventRecordID> 
        <Correlation /> 
        <Execution ProcessID="544" ThreadID="596" /> 
        <Channel>Security</Channel> 
        <Computer>ontheinternet</Computer> 
        <Security /> 
    </System>
    <EventData>
        <Data Name="SubjectUserSid">S-1-0-0</Data> 
        <Data Name="SubjectUserName">-</Data> 
        <Data Name="SubjectDomainName">-</Data> 
        <Data Name="SubjectLogonId">0x0</Data> 
        <Data Name="TargetUserSid">S-1-0-0</Data> 
        <Data Name="TargetUserName">notauser</Data> 
        <Data Name="TargetDomainName">MYSERVER-PC</Data> 
        <Data Name="Status">0xc000006d</Data> 
        <Data Name="FailureReason">%%2313</Data> 
        <Data Name="SubStatus">0xc0000064</Data> 
        <Data Name="LogonType">3</Data> 
        <Data Name="LogonProcessName">NtLmSsp</Data> 
        <Data Name="AuthenticationPackageName">NTLM</Data> 
        <Data Name="WorkstationName">MYSERVER-PC</Data> 
        <Data Name="TransmittedServices">-</Data> 
        <Data Name="LmPackageName">-</Data> 
        <Data Name="KeyLength">0</Data> 
        <Data Name="ProcessId">0x0</Data> 
        <Data Name="ProcessName">-</Data> 
        <Data Name="IpAddress">-</Data> 
        <Data Name="IpPort">-</Data> 
    </EventData>
</Event>

Parece que o tipo de logon é 3 e não 10 como as antigas sessões de rdp, o endereço IP e outras informações não são armazenadas.

A máquina que estou tentando conectar está na internet e não na mesma rede que o servidor.

Alguém sabe onde essas informações são armazenadas (e quais outros eventos são gerados com um logon com falha)?

Qualquer ajuda será muito apreciada.

logging terminal-server windows-server-2008-r2

por Zone12 13.04.2012 / 09:29

3 respostas

Tags logging terminal-server windows-server-2008-r2

O IIS 7.0 não liberará a porta 80 quando o serviço for interrompido. Não é possível executar o Apache na porta 80 Missa excluir impressoras mapeadas e locais

score 7 · Answer 1

Usando TLS / SSL como criptografia para o protocolo RDP, o Windows não registra o endereço IP do usuário tentando efetuar login. Quando você configura o servidor para criptografar o protocolo com a criptografia RDP (herdada), ele grava o IP endereço no log de eventos de segurança.

Você terá que fazer um trade-off. Ou você terá uma criptografia de protocolo menos segura ou nunca saberá a origem de um possível ataque. Tendo o sistema de detecção de intrusão certo (pode ser baixado gratuitamente), o sistema irá bloquear automaticamente o invasor em potencial após um número definido de logins inválidos.

Leia mais sobre segurança RDP e detecção e defesa inteligente contra invasões aqui: link

score 2 · Answer 2

Em secpol.msc open Local Policies | Security Options definido Network security: Restrict NTLM: Incoming NTLM traffic para Deny all accounts . Isso não pode ser usado com NLA, mas funciona com SSL (o ícone de informações SSL na barra superior do cliente mstsc.exe confirma a identidade do servidor) e grava com êxito o endereço de rede de origem na ID de Evento 4625 com falha no log de auditoria.

Aqui está meu log antes

Oct 17 13:59:22 TS04.ucssaas.local rdp-farm: {"EventTime":"2015-10-17 13:59:22","Hostname":"TS04.ucssaas.local","Keywords":-9218868437227405312,"EventType":"AUDIT_FAILURE","SeverityValue":4,"Severity":"ERROR","EventID":4625,"SourceName":"Microsoft-Windows-Security-Auditing","ProviderGuid":"{54849625-5478-4994-A5BA-3E3B0328C30D}","Version":0,"Task":12544,"OpcodeValue":0,"RecordNumber":1366552,"ProcessID":568,"ThreadID":35244,"Channel":"Security","Category":"Logon","Opcode":"Info","SubjectUserSid":"S-1-0-0","SubjectUserName":"-","SubjectDomainName":"-","SubjectLogonId":"0x0","TargetUserSid":"S-1-0-0","TargetUserName":"wqw","TargetDomainName":"UCSSAAS","Status":"0xc000006d","FailureReason":"%%2313","SubStatus":"0xc000006a","LogonType":"3","LogonProcessName":"NtLmSsp ","AuthenticationPackageName":"NTLM","WorkstationName":"CVETKOV-C3414E6","TransmittedServices":"-","LmPackageName":"-","KeyLength":"0","ProcessName":"-","IpAddress":"-","IpPort":"-","EventReceivedTime":"2015-10-17 13:59:24","SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}#015

e depois

Oct 17 14:00:36 TS02.ucssaas.local rdp-farm: {"EventTime":"2015-10-17 14:00:36","Hostname":"TS02.ucssaas.local","Keywords":-9218868437227405312,"EventType":"AUDIT_FAILURE","SeverityValue":4,"Severity":"ERROR","EventID":4625,"SourceName":"Microsoft-Windows-Security-Auditing","ProviderGuid":"{54849625-5478-4994-A5BA-3E3B0328C30D}","Version":0,"Task":12544,"OpcodeValue":0,"RecordNumber":2613410,"ProcessID":564,"ThreadID":17112,"Channel":"Security","Category":"Logon","Opcode":"Info","SubjectUserSid":"S-1-5-18","SubjectUserName":"TS02$","SubjectDomainName":"UCSSAAS","SubjectLogonId":"0x3e7","TargetUserSid":"S-1-0-0","TargetUserName":"wqw","TargetDomainName":"UCSSAAS","Status":"0xc000006d","FailureReason":"%%2313","SubStatus":"0xc000006a","LogonType":"10","LogonProcessName":"User32 ","AuthenticationPackageName":"Negotiate","WorkstationName":"TS02","TransmittedServices":"-","LmPackageName":"-","KeyLength":"0","ProcessName":"C:\Windows\System32\winlogon.exe","IpAddress":"109.199.229.32","IpPort":"0","EventReceivedTime":"2015-10-17 14:00:37","SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}#015

Basicamente, a fonte WorkstationName é perdida e agora mostra o nome do servidor RDSH, mas você recebe IpAddress em troca. Isso mostra a alteração que aconteceu abaixo de "LogonType":"3","LogonProcessName":"NtLmSsp ","AuthenticationPackageName":"NTLM" ser alterada para "LogonType":"10","LogonProcessName":"User32 ","AuthenticationPackageName":"Negotiate"

Estou usando essa configuração em vários hosts da sessão Win2012 R2 e fiz testes com várias sessões de logon com êxito / falhas de mstsc.exe clients em computadores com Win XP (mais recente mstsc.exe versão 6.1.7600 para XP).

(O log acima é do rsyslog em um balanceador de carga haproxy que coleta logs de auditoria de caixas RDSH que estão sendo encaminhados pelo serviço nxlog no formato JSON. Há uma cadeia fail2ban no haproxy que bloqueia clientes por IP após um número de tentativas de logon com falha.)

score 0 · Answer 3

Eu encontrei este artigo sobre arquivos de log para a sessão RDP. Espero que seja útil para você.

link

Eu também não vejo um - qual é o problema especificamente?

Aceitando com base no assunto, verifique o evento de segurança do Windows XP Log do visualizador. Uma política de auditoria pode ser configurada usando o editor de diretiva de grupo para acompanhar o sucesso e as falhas de logon: Desde o início | Execute o tipo de janela de comando gpedit.msc. Navegue para a política do computador local | Configuração do Computador | janelas Configurações | Configurações de segurança | Políticas Locais | Política de Auditoria | Logon de auditoria eventos. Destaque e clique com o botão direito do mouse e selecione as propriedades. Configure conforme desejado.

Observe que o login sem uma senha é registrado como uma falha. Isso resulta no log de segurança preenchendo muito rápido se você registrar falhas e tiver um usuário sem uma senha. O resultado é que você não pode logar normalmente. Observe também, não ter uma senha é um risco de segurança potencial e provável.

O log de eventos pode ser visto indo para Iniciar | Painel de controle | atuação e manutenção | Ferramentas Administrativas e clique em Visualizador de Eventos.

O log de eventos (segurança) anotando um logon e logoff bem-sucedido por um controle remoto do utilizador. O usuário pode destacar uma entrada de registro e clicar com o botão direito do mouse para visualizar o evento Propriedades para informações detalhadas.

Procure no log de eventos de segurança para um evento de logon / logoff 528 e tipo de logon 10.

A ferramenta gratuita Microsoft Port Reporter fornece registro adicional. Descrição da ferramenta Port Reporter Parser (PR-Parser) link

Disponibilidade e descrição da ferramenta Port Reporter link