事件记录IPAddress并不总是解决

Question

我挂钩了System.Diagnostics.Eventing.Reader.EventLogWatcher类的安全事件日志，并且我正在监视2008服务器框上的事件ID 4625，以获取传入失败登录（RDP，特别是）。

日志捕获工作正常，我将结果转储到相关的，稍后处理的队列中。但是，有时捕获的日志会填充（解析）IPAddress数据字段，有时它们不会。

我在观看服务器时运行windump，试图从不同的服务器和操作系统风格中进行我平常的RDP登录，我可以得出的唯一结论是版本差异问题，而且编码不错。虽然我可能是错的，大声笑。

问题在于事件日志本身与这些连接有关。所有失败的RDP登录都会被记录下来，并被正确处理，但某些日志根本不记录失败连接的源IP地址。

是否有一些新的mstsc味道以某种方式导致远程事件日志不记录源IP地址？对于我针对此挂钩服务器运行的任何其他2008服务器，这似乎都是如此。到目前为止我尝试过的任何2003或XP机器都可以正确记录。

如果您需要更多信息，请告诉我。谢谢！

编辑

我需要做一些疯狂 - 像实施sharpPcap和关联的IPS事件日志时呀？ = /。也许可以查询lsass（是不是通常写入安全日志的唯一东西）？

Answer 1

我终于得到了这个工作。发生这种情况是因为有两种身份验证方法用于RDP连接：NTLM和User32。我更改了GPO设置以终止外部NTLM连接。

这些是我设定的GPO设置，它具有魔力。请注意，这是一个Server 2008 R2盒子。

要求
计算机配置\ Windows设置\安全设置\安全选项

网络安全：LAN Manager身份验证级别 - 仅发送NTLMv2响应。拒绝LM & NTLM
网络安全：限制NTLM：审核传入NTLM通信 - 启用审核所有帐户的
网络安全：限制NTLM：传入NTLM通信 - 拒绝所有账户

推荐
不要允许保存密码 - 已启用
在客户端计算机上提示凭据 - 已启用

我也更改了其他一些与安全相关的密钥，但这些密钥应该是核心密钥。强制传入的网络流量远离使用NTLM允许每个单一的4625事件包含故障计算机的IP地址，因为它们强制使用User32登录。

让我知道如果这看起来完全不安全或可能有更好的方法来做到这一点，但这允许适当的计数和记录失败的尝试，同时保留连接的加密级别。

Answer 2

小行星的答案有效，但您必须启用“允许从运行任何版本的远程桌面（不太安全）的计算机连接”，而不是“允许仅使用运行具有网络级别身份验证（更安全）的远程桌面的计算机进行连接”。

NLA不使用User32，但使用依赖LM响应的NtLmSsp。如果这被阻止（如上面的说明所做的那样），那么最终你会得到“不能联系本地安全机构”。