Como posso listar o endereço de rede de origem para tentativas de FTP com falha no log do Windows de segurança no Windows Server 2008 R2?

1

Eu gerencio um servidor executando o Windows Server 2008 R2 que constantemente é bombardeado com ataques de força bruta via FTP. Essas tentativas de login com falha são exibidas na seção Segurança dos Logs do Windows como erros de Falha na Auditoria (ID de Evento 4625) com um Tipo de Logon de 8 (NetworkCleartext). Em cada entrada de log de eventos, o endereço de rede de origem (ou seja, o endereço IP incorreto que deve ser bloqueado) nunca é listado, no entanto, o endereço IP está listado nos logs FTP (localizado por padrão em C: \ inetpub \ logs \ LogFiles \ FTPSVC2 ).

Existe alguma maneira de ter os endereços IP ofensivos, que o log de FTP conhece claramente, também aparecem nos Logs do Windows de Segurança?

    
por kevinmicke 29.01.2014 / 03:10

1 resposta

3

Não há nenhuma funcionalidade no produto para fazer o que você está procurando. Não faz sentido, mas é assim desde que a Microsoft teve um servidor FTP no Windows.

Histórico: Desenvolvi um utilitário que bloqueia tentativas de logon de RDP de força bruta em endereços IP. Fui solicitado a adicionar a funcionalidade do FTP a esse script várias vezes e, como tal, pesquisei isso. Não há como agredir endereços IP do log de eventos.

    
por 29.01.2014 / 03:13