我试图弄清楚为什么失败的远程桌面连接(来自Windows远程桌面)将客户端IP地址显示为连字符。这是我为帐户输入错误密码时获得的事件日志(服务器完全在我的家用计算机外部):
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2012-03-25T19:22:14.694177500Z" />
<EventRecordID>1658501</EventRecordID>
<Correlation />
<Execution ProcessID="544" ThreadID="12880" />
<Channel>Security</Channel>
<Computer>[Delete for Security Purposes]</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">[Delete for Security Purposes]</Data>
<Data Name="TargetDomainName">[Delete for Security Purposes]</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">MyComputer</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
在网上找不到任何内容,并试图阻止终端服务攻击。我很感激任何见解,经过几个小时的搜索,我没有在网上找到任何东西......
答案 0 :(得分:1)
答案就在这里,在本地安全策略中有一些调整设置:
答案 1 :(得分:1)
这是远程桌面的TLS / SSL加密功能。使用RDP加密(原始协议加密),您将看到4625个审核消息中的所有IP地址。
详细了解how to configure RDP sessions and which trade-offs to make。
安装了正确的入侵检测和防御系统,你可以简单地锁定攻击者,这可能使旧加密比新加密更安全,因为如果你不知道坏人是谁,你可以'把他锁起来