web-dev-qa-db-ja.com

リモートデスクトップがログオンイベントに失敗しました4625 2008ターミナルサービスサーバーでIPアドレスがログに記録されない

新しいリモートデスクトップをsslで使用し、不正な資格情報でログオンしようとすると、期待どおりに4625イベントが記録されます。問題は、IPアドレスをログに記録しないため、ファイアウォールで悪意のあるログオンをブロックできないことです。イベントは次のようになります。

<Event xmlns="http://schemas.Microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{00000000-0000-0000-0000-000000000000}" /> 
        <EventID>4625</EventID> 
        <Version>0</Version> 
        <Level>0</Level> 
        <Task>12544</Task> 
        <Opcode>0</Opcode> 
        <Keywords>0x8010000000000000</Keywords> 
        <TimeCreated SystemTime="2012-04-13T06:52:36.499113600Z" /> 
        <EventRecordID>467553</EventRecordID> 
        <Correlation /> 
        <Execution ProcessID="544" ThreadID="596" /> 
        <Channel>Security</Channel> 
        <Computer>ontheinternet</Computer> 
        <Security /> 
    </System>
    <EventData>
        <Data Name="SubjectUserSid">S-1-0-0</Data> 
        <Data Name="SubjectUserName">-</Data> 
        <Data Name="SubjectDomainName">-</Data> 
        <Data Name="SubjectLogonId">0x0</Data> 
        <Data Name="TargetUserSid">S-1-0-0</Data> 
        <Data Name="TargetUserName">notauser</Data> 
        <Data Name="TargetDomainName">MYSERVER-PC</Data> 
        <Data Name="Status">0xc000006d</Data> 
        <Data Name="FailureReason">%%2313</Data> 
        <Data Name="SubStatus">0xc0000064</Data> 
        <Data Name="LogonType">3</Data> 
        <Data Name="LogonProcessName">NtLmSsp</Data> 
        <Data Name="AuthenticationPackageName">NTLM</Data> 
        <Data Name="WorkstationName">MYSERVER-PC</Data> 
        <Data Name="TransmittedServices">-</Data> 
        <Data Name="LmPackageName">-</Data> 
        <Data Name="KeyLength">0</Data> 
        <Data Name="ProcessId">0x0</Data> 
        <Data Name="ProcessName">-</Data> 
        <Data Name="IpAddress">-</Data> 
        <Data Name="IpPort">-</Data> 
    </EventData>
</Event>

ログオンタイプが3であり、古いrdpセッションのように10ではないため、IPアドレスやその他の情報が保存されていないようです。

接続しようとしているマシンはインターネット上にあり、サーバーと同じネットワーク上にありません。

この情報がどこに保存されているか(そして、ログオンに失敗すると他にどのようなイベントが生成されるか)誰かが知っていますか?

どんな助けでも大歓迎です。

windows-server-2008-r2loggingterminal-server
7
Zone12

RDPプロトコルの暗号化としてTLS/SSLを使用すると、WindowsはログインしようとしているユーザーのIPアドレスをログに記録しません。プロトコルを(レガシー)RDP暗号化で暗号化するようにサーバーを構成すると、IPアドレスがセキュリティイベントログ。

あなたはトレードオフをする必要があります。安全性の低いプロトコル暗号化を使用するか、潜在的な攻撃の送信元を知ることができません。適切な侵入検知システム(無料でダウンロード可能)を備えているため、無効なログインが定義された回数に達すると、システムは潜在的な攻撃者を自動的にロックアウトします。

RDPのセキュリティとインテリジェントな侵入検知と防御について詳しくは、こちらをご覧ください: https://cyberarms.net/security-blog/posts/2012/june/remote-desktop-logging-of-ip-address-(security- event-log-4625).aspx

7
Max

secpol.mscを開くLocal Policies | Security OptionsNetwork security: Restrict NTLM: Incoming NTLM trafficDeny all accountsに設定します。これはNLAでは使用できませんが、SSL(mstsc.exeクライアントのトップバーにあるSSL情報アイコンがサーバーのIDを確認する)と連携して機能し、失敗したイベントID 4625のソースネットワークアドレスを監査ログに正常に記録します。

ここに私の前のログがあります

Oct 17 13:59:22 TS04.ucssaas.local rdp-farm: {"EventTime":"2015-10-17 13:59:22","Hostname":"TS04.ucssaas.local","Keywords":-9218868437227405312,"EventType":"AUDIT_FAILURE","SeverityValue":4,"Severity":"ERROR","EventID":4625,"SourceName":"Microsoft-Windows-Security-Auditing","ProviderGuid":"{54849625-5478-4994-A5BA-3E3B0328C30D}","Version":0,"Task":12544,"OpcodeValue":0,"RecordNumber":1366552,"ProcessID":568,"ThreadID":35244,"Channel":"Security","Category":"Logon","Opcode":"Info","SubjectUserSid":"S-1-0-0","SubjectUserName":"-","SubjectDomainName":"-","SubjectLogonId":"0x0","TargetUserSid":"S-1-0-0","TargetUserName":"wqw","TargetDomainName":"UCSSAAS","Status":"0xc000006d","FailureReason":"%%2313","SubStatus":"0xc000006a","LogonType":"3","LogonProcessName":"NtLmSsp ","AuthenticationPackageName":"NTLM","WorkstationName":"CVETKOV-C3414E6","TransmittedServices":"-","LmPackageName":"-","KeyLength":"0","ProcessName":"-","IpAddress":"-","IpPort":"-","EventReceivedTime":"2015-10-17 13:59:24","SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}#015

以降

Oct 17 14:00:36 TS02.ucssaas.local rdp-farm: {"EventTime":"2015-10-17 14:00:36","Hostname":"TS02.ucssaas.local","Keywords":-9218868437227405312,"EventType":"AUDIT_FAILURE","SeverityValue":4,"Severity":"ERROR","EventID":4625,"SourceName":"Microsoft-Windows-Security-Auditing","ProviderGuid":"{54849625-5478-4994-A5BA-3E3B0328C30D}","Version":0,"Task":12544,"OpcodeValue":0,"RecordNumber":2613410,"ProcessID":564,"ThreadID":17112,"Channel":"Security","Category":"Logon","Opcode":"Info","SubjectUserSid":"S-1-5-18","SubjectUserName":"TS02$","SubjectDomainName":"UCSSAAS","SubjectLogonId":"0x3e7","TargetUserSid":"S-1-0-0","TargetUserName":"wqw","TargetDomainName":"UCSSAAS","Status":"0xc000006d","FailureReason":"%%2313","SubStatus":"0xc000006a","LogonType":"10","LogonProcessName":"User32 ","AuthenticationPackageName":"Negotiate","WorkstationName":"TS02","TransmittedServices":"-","LmPackageName":"-","KeyLength":"0","ProcessName":"C:\\Windows\\System32\\winlogon.exe","IpAddress":"109.199.229.32","IpPort":"0","EventReceivedTime":"2015-10-17 14:00:37","SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}#015

基本的にソースWorkstationNameが失われ、代わりにRDSHサーバー名が表示されますが、代わりにIpAddressが表示されます。これは、"LogonType":"3","LogonProcessName":"NtLmSsp ","AuthenticationPackageName":"NTLM"の下で発生した変更が"LogonType":"10","LogonProcessName":"User32 ","AuthenticationPackageName":"Negotiate"に変更されたことを示しています

私はいくつかのWin2012 R2セッションホストでこの設定を使用しており、Win上のmstsc.exeクライアントからのいくつかの成功/失敗したログオンセッションでテストを行いましたXPマシン(最新のmstsc.exeバージョン) 6.1.7600 for XP)。

(上記のログは、nxlogサービスによってJSON形式で転送されているRDSHボックスから監査ログを収集するhaproxyロードバランサーのrsyslogからのものです。haproxyにfail2ban jailがあり、ログオンに失敗した後、IPによってクライアントをブロックします試み。)

3
wqw

RDPセッションのログファイルに関するこの記事を見つけました。お役に立てれば幸いです。

http://forums.techarena.in/windows-security/838814.htm

どちらも表示されません-特に問題は何ですか?

サブジェクトに基づいて推測を行い、Windows XP Security Event Viewer Logを確認します。監査ポリシーは、ログオンの成功と失敗を追跡するために、グループポリシーエディターを使用して構成できます:Start | Runコマンドからウィンドウの種類はgpedit.mscです。[ローカルコンピュータポリシー]、[コンピュータの構成]、[Windows設定]、[セキュリティ設定]、[ローカルポリシー]、[監査ポリシー]、[ログオンイベントの監査]の順に移動します。

パスワードなしでログインすると、失敗としてログに記録されることに注意してください。これにより、失敗をログに記録し、パスワードのないユーザーがいる場合、セキュリティログが非常に速くいっぱいになります。その結果、正常にログインできなくなります。また、パスワードがないことは、潜在的でありそうなセキュリティリスクになることに注意してください。

イベントログは、[スタート]メニューから表示できます。コントロールパネル|パフォーマンスとメンテナンス|管理ツールをクリックし、イベントビューアをクリックします。

リモートユーザーによるログオンとログオフの成功を通知するイベントログ(セキュリティ)。ユーザーはログエントリを強調表示し、右クリックしてイベントのプロパティを表示して詳細情報を確認できます。

セキュリティイベントログでログオン/ログオフイベント528とログオンタイプ10を探します。

無料のMicrosoft Port Reporterツールは、追加のロギングを提供します。 Port Reporter Parser(PR-Parser)ツールの説明 http://support.Microsoft.com/default...b;en-us;884289

Port Reporterツールの可用性と説明 http://support.Microsoft.com/kb/83724

0
Vitali Tikaev