Показать сообщение отдельно
Старый 21.03.2017, 12:36     # 1
Plague
Administrator
 
Аватар для Plague
 
Регистрация: 06.05.2003
Адрес: Московская Подводная Лодка
Пол: Male
Сообщения: 11 749

Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
IP лог RDP соединений

Вот уж чего не ожидал, так это того, что здесь могут быть проблемы.
Итак.
Сервер 2008R2.
В свойствах удалённого доступа (Панель управления\Все элементы панели управления\Система - доп.параметры - удалённый доступ) выбран третий переключатель, как рекомендуется. Насколько я понимаю, вторая и третья позиции - есть переключение между протоколами авторизации и доступа User32/NTLM.
В политиках безопасности (gpedit.msc - конфигурация компьютера - параметры безопасности - локальные политики - политика аудита) Аудит входа в систему вглючен и на отказ и на успех. и до кучи тоже самое, там же и для "Аудит событий входа в систему".

После чего идем в просмотр событий - журналы windows - безопасность.
При успешном входе (код события 4624) IP успешно записывается. (только поздно пить боржоми если почки отвалились)
При отказе (Неизвестное имя пользователя или неверный пароль, код события 4625) эта зараза записывает Имя рабочей станции - читает даже извне, не только из локальной сети (только накой хрен оно нужно), но не считает нужным записать его IP.

Копание в интернетах навело на сей совет:
Цитата:
These are the GPO settings I set that did the magic. Please note that this is a Server 2008 R2 box.

Required
Computer Configuration\Windows Settings\Security Settings\Security Options

Network security: LAN Manager authentication level -- Send NTLMv2 response only. Refuse LM & NTLM
Network security: Restrict NTLM: Audit Incoming NTLM Traffic -- Enable auditing for all accounts
Network security: Restrict NTLM: Incoming NTLM traffic -- Deny all accounts

Recommended
Do not allow for passwords to be saved -- Enabled
Prompt for credentials on the client computer -- Enabled

I changed some other security-related keys, too, but these should be the core ones. Forcing incoming network traffic away from using NTLM allows every single 4625 event to contain the IP Address of the failed computer, as they are force to use User32 logon.
Всё работает. В случае, если переключиться на более древний User32, о чем там и сообщается. В случае же с NTLM (третий переключатель в свойствах RDP) при настройке по этому совету, к компу по RDP вообще зацепиться нельзя, что логично, ибо:
Цитата:
Network security: Restrict NTLM: Incoming NTLM traffic -- Deny all accounts
Упреждая советы переключить RDP в User32 скажу что:
  1. Майкрософт сама не рекомендует юзать его.
  2. При вглючении оного неудачный логин происходит по следующему сценарию: RDP открывает окно, а уже в этом окне сообщает о неверности логина/пароля, что лично мне категорически не нравится. Бред какой-то . NTLM же просто тупо отшибает сразу, что более правильно.

PS. есть софтина Cyberarms Intrusion Detection которая замечательно всё это логирует, и даже банить умеет , вопрос в том что во-первых, я хочу понять, кто из нас идиот: я (потому что не могу найти едва ли не основной фундамент безопасности - IP-лог попыток входа в систему) или Майкрософт (которые не считают нужным этот лог писать ); ну, и во-вторых, если есть возможность сделать что-то штатными средствами, то нужно это делать штатными средствами, а не развешивать лишнюю клюкву…
__________________
все "спасибы" - в приват и в репутацию! не засоряйте форум!!!!
~~~~~~~~~~~~~~~~~~~~~~

The time has come it is quite clear, our antichrist is almost already here.
M.M.
Plague вне форума