Регистрация событий IPAddress не всегда решает
Я сцепляю Журнал событий безопасности с Системой. Диагностика. Обработка событий. Читатель. Класс EventLogWatcher, и я наблюдаю Идентификатор события 4625 на поле сервера 2008, для входящих неудавшихся логинов (RDP, конкретно).
Получение журнала хорошо работает, и я вывожу результаты в очередь для связанной, дальнейшей обработки. Однако иногда полученные журналы имеют поле данных IPAddress, заполненное (разрешенный), и иногда они не делают.
Я выполнил windump при наблюдении сервера, попытке моих обычных логинов RDP с различных серверов и разновидностей ОС и единственного заключения, в которое я могу приехать, приблизительно это - проблема различия в версии и не плохо кодирование. Хотя я мог быть неправым, LOL.
Проблемой являются в конечном счете сами журналы относительно этих соединений. Все неудавшиеся логины RDP зарегистрированы и обрабатываются правильно, но некоторые журналы просто не записывают исходный IP-адрес неудавшегося соединения.
Некоторая более новая разновидность mstsc так или иначе заставляют удаленный журнал событий НЕ регистрировать исходный IP-адрес? Это, кажется, верно для любого другого сервера 2008, который я выполняю против этого крючковатого сервера. Любая машина 2003 или XP, что я попробовал до сих пор, зарегистрирована правильно.
При необходимости в большей информации сообщить мне. Спасибо ТАК!
Править
Я должен сделать что-то сумасшедшее - как реализация sharpPcap и коррелировать дюйм/с к eventlogs тот путь? =/. lsass может быть запрошен, возможно (не это единственная вещь, которая обычно пишет в Журнал безопасности)?
1 ответ
Недавно я получил новую работу и работу над проектом, в котором используются ACE и TAO. Ну, я могу сказать, что ACE и TAO работают и полностью выполняют свои задачи. Но общая организация и дизайн библиотек довольно сложны...
Например, основная часть ACE состоит из сотен классов, начинающихся с «» ACE_. Похоже, они десятилетиями игнорировали пространства имен.
Кроме того, многие имена классов ACE также не предоставляют полезной информации. Или вы можете догадаться, какие классы, такие как ACE _ Dev _ Poll _ Reactor _ Notify или ACE _ Proactor _ Handle _ Timeout _ Upcall , могут использоваться для?
Кроме того, документация ACдействительно отсутствует, (это действительно трудно без какой-либо хорошей документации..), я бы НЕ рекомендовал использовать ACE, если вы действительно не нуждаетесь в TAO для CORBA , если вы не нуждаетесь в CORBA, продолжайте и используйте некоторые современные библиотеки..
-121--777292-Посмотрите здесь: Форматировать номер телефона
function format_phone($phone)
{
$phone = preg_replace("/^\d/", "", $phone);
if(strlen($phone) == 7)
return preg_replace("/(\d{3})(\d{4})/", "$1-$2", $phone);
elseif(strlen($phone) == 10)
return preg_replace("/(\d{3})(\d{3})(\d{4})/", "($1) $2-$3", $phone);
else
return $phone;
}
Я наконец-то получил эту работу. Это произошло потому, что для RDP-подключений использовались два метода проверки подлинности: NTLM и User32. Я изменил параметры настройки GPO, чтобы отключить внешние подключения NTLM.
Это настройки GPO, которые я установил, которые сделали магию. Обратите внимание, что это окно R2 Server 2008.
Требуется
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности
Сетевая безопасность: уровень проверки подлинности LAN Manager - Только отправка NTLMv2 ответа. Отказ от LM и NTLM
Сетевая безопасность: Ограничение NTLM: Аудит входящего трафика NTLM - Включить аудит для всех учетных записей
Сетевая безопасность: Ограничить NTLM: Входящий трафик NTLM - Запретить все учетные записи
Рекомендуется
Запретить сохранение паролей - Включено
Запрос полномочий на клиентском компьютере - Включено
Я также изменил некоторые другие ключи, связанные с безопасностью, но они должны быть основными. Принудительное отключение входящего сетевого трафика от использования NTLM позволяет каждому событию 4625 содержать IP-адрес отказавшего компьютера, так как они вынуждены использовать User32 вход в систему.
Дайте мне знать, если это кажется абсолютно небезопасным или может быть лучший способ сделать это, но это позволяет правильно подсчитывать и регистрировать неудачные попытки, сохраняя при этом уровень шифрования для соединения.