イベントログIPAddressが常に解決されるとは限りません

Question

セキュリティイベントログをSystem.Diagnostics.Eventing.Reader.EventLogWatcherクラスにフックしています。受信した失敗したログイン（RDP、具体的には、特に、2008サーバーボックスのイベントID 4625を見ています。 ）。

ログのキャプチャは正常に動作しています。後で処理するために、結果をキューにダンプしています。ただし、キャプチャされたログにIPAddressデータフィールドが入力（解決）されていることがあります。

サーバーを見ている間にwindumpを実行しました。通常のRDPログインをさまざまなサーバーやOSの味から試してみましたが、これについてはバージョン違いの問題であり、悪いコーディングではありません。私は間違っているかもしれないが、LOL。

イベントには、これらの接続に関してログが記録されるという問題があります。失敗したRDPログインはすべてログに記録され、正しく処理されますが、ログの一部では失敗した接続の送信元IPアドレスが記録されません。

mstscのいくつかの新しいフレーバーは、リモートイベントログにソースIPアドレスを記録しないようにしますか？これは、私がこのフックされたサーバーに対して実行する他の2008年のサーバーにも当てはまります。これまでに試した2003年またはXPマシンは正しくログされています。

詳細が必要な場合はお知らせください。ありがとうございます！

EDIT

は私が狂った何かをする必要がありますか - などのsharpPcapを実装し、そのようにeventlogsするIPアドレスを関連付けますか？ = /。おそらく照会することができますか（通常、セキュリティログに書き込む唯一のものではありません）？

Answer 1

私はついにこれを手に入れました。これは、RDP接続に2つの認証方法、つまりNTLMとUser32が使用されているために発生していました。私はGPO設定を変更して、外部のNTLM接続を強制終了しました。

これは私が設定した魔法のGPO設定です。これはServer 2008 R2ボックスであることに注意してください。

必要
コンピュータの構成\ Windowsの設定\セキュリティの設定\セキュリティオプション

ネットワークセキュリティ：LAN Manager認証レベル - NTLMv2応答のみを送信します。 LM & NTLM
ネットワークセキュリティを拒否：NTLMの制限：監査着信NTLMトラフィックを - すべてが
ネットワークセキュリティアカウントの監査を有効にする：NTLMを制限する：着信NTLMトラフィックを - すべてのアカウント

推奨
ないで拒否パスワードを保存できるようにする - 有効
クライアントコンピュータの資格情報を要求する - 有効

他のセキュリティ関連のキーも変更しましたが、これらは重要なものです。 NTLMを使用しないように受信ネットワークトラフィックを強制すると、失敗したコンピュータのIPアドレスがすべての単一4625イベントに含まれ、User32ログオンが強制的に使用されます。

が、これは完全に安全ではないと思われるか、これを行うには良い方法があるかもしれないなら、私に教えてくださいますが、接続の暗号化のレベルを維持しながら、これは失敗した試行の適切なカウントされ、ログに記録することができます。

Answer 2

小惑星の回答は機能しますが、「ネットワークレベル認証でリモートデスクトップを実行しているコンピュータからの接続をより安全に（より安全に）」ではなく、「任意のバージョンのリモートデスクトップを実行しているコンピュータから接続を許可する（安全性が低い）

NLAはUser32を使用せず、LM応答に依存するNtLmSspを使用します。それがブロックされている場合（上記の手順と同様に）、「ローカルセキュリティ機関に連絡することはできません」というメッセージが表示されます。