5

System.Diagnostics.Eventing.Reader.EventLogWatcher クラスを使用してセキュリティ イベント ログをフックしています。2008 サーバー ボックスで、着信​​失敗ログイン (具体的には RDP) のイベント ID 4625 を監視しています。

ログのキャプチャは正常に機能しており、関連する後で処理するために結果をキューにダンプしています。ただし、キャプチャされたログの IPAddress データ フィールドが埋められている (解決されている) 場合と、そうでない場合があります。

サーバーを監視しながら windump を実行し、さまざまなサーバーと OS フレーバーから通常の RDP ログインを試みました。私は間違っているかもしれませんが、笑。

問題は、これらの接続に関するイベント ログ自体にあります。失敗した RDP ログインはすべてログに記録され、正しく処理されますが、一部のログには失敗した接続の送信元 IP アドレスが記録されません。

mstsc の一部の新しいフレーバーにより、何らかの理由でリモート イベント ログに送信元 IP アドレスが記録されませんか? これは、このフックされたサーバーに対して実行する他の 2008 サーバーにも当てはまるようです。これまで試した 2003 または XP マシンはすべて正しくログに記録されました。

さらに情報が必要な場合は、お知らせください。ありがとうございます!

編集

たとえば、sharpPcap を実装して、IP をイベントログに関連付けるなど、クレイジーなことをする必要がありますか? =/。lsass を照会することはできますか (通常、セキュリティ ログに書き込まれるのは lsass だけではありません)。

4

2 に答える 2

9

私はついにこれを機能させました。これは、RDP 接続に NTLM と User32 の 2 つの認証方法が使用されていたために発生していました。外部 NTLM 接続を強制終了するように GPO 設定を変更しました。

これらは、魔法のように設定した GPO 設定です。これは Server 2008 R2 ボックスであることに注意してください。

必要な
コンピューターの構成\Windows の設定\セキュリティの設定\セキュリティ オプション

ネットワーク セキュリティ: LAN Manager 認証レベル -- NTLMv2 応答のみを送信します。LM と NTLM を拒否する
ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィックを監査する -- すべてのアカウントの監査を有効にする
ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィック -- すべてのアカウントを拒否する

推奨
パスワードの保存を許可しない --
有効 クライアント コンピュータの資格情報を要求する -- 有効

他のセキュリティ関連のキーもいくつか変更しましたが、これらはコア キーのはずです。NTLM を使用しない受信ネットワーク トラフィックを強制すると、User32 ログオンの使用が強制されるため、すべての 4625 イベントに障害が発生したコンピューターの IP アドレスを含めることができます。

これが完全に安全ではないように思われる場合、またはこれを行うためのより良い方法がある場合はお知らせください。ただし、これにより、接続の暗号化レベルを維持しながら、失敗した試行を適切にカウントしてログに記録できます.

于 2010-01-18T23:21:05.737 に答える
8

小惑星の答えは機能しますが、「ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからの接続のみを許可する(安全性が高い)」ではなく、「リモートデスクトップの任意のバージョンを実行しているコンピューターからの接続を許可する(安全性が低い)」を有効にする必要があります。

NLA は User32 を使用しませんが、LM 応答に依存する NtLmSsp を使用します。それがブロックされている場合 (上記の手順のように)、古い「ローカル セキュリティ機関に連絡できません」というメッセージが表示されます。

于 2013-02-14T16:49:50.727 に答える