Enregistrement de sécurité L'Observateur d'événements ne stocke pas les adresses IP

J'aimerais écrire un service qui tire les enregistrements de Event Viewer, en particulier à partir du journal de sécurité. Un intérêt particulier pour moi est tout comme les messages de l'événement 4625 (échec d'audit). Idéalement, je voudrais stocker l'IP des clients qui provoquent une vérification échoue plus de n fois en m secondes pendant un certain temps.

Cela me semble assez facile, alors j'ai rapidement récupéré un service .NET pour faire cela. Cependant, lorsque je tire ces erreurs d'audit, la valeur "Adresse réseau source" est toujours égale à "-". J'aimerais savoir comment Windows peut se débrouiller tout au long d'une connexion, finir par échouer et ne pas connaître l'adresse IP du pair.

Il convient également de noter que les quelques fois où l'adresse IP est enregistrée, l'entrée de journal contient en fait beaucoup d'autres informations utiles (comme le processus qui l'a généré, la raison de l'échec, les services transmis, etc.).

Quelqu'un peut-il me dire pourquoi le journal de sécurité ne connaît pas l'adresse IP des personnes qui essaient de se connecter et d'échouer?

Quelqu'un peut-il me dire pourquoi le journal de sécurité ne connaît pas l'adresse IP des personnes qui essaient de se connecter et d'échouer?

Voici la cause de quelque chose comme Remote Desktop.

http://cyberarms.net/security-insights/security-lab/remote-desktop-logging-of-ip-address-%28security-event-log-4625%29.aspx

Il n'existe aucune option dans Windows pour activer ou désactiver la journalisation de l'adresse IP, du moins pas à ma connaissance.

Pour Remote Desktop, j'ai découvert que la configuration de l'hôte de la session à distance et la modification de la connexion RDP-TCP pour que la couche de sécurité de "RDP Security Layer" au lieu de "Negotiate" ou "SSL (TLS 1.0)" ramena l'IP Adresses.

Si vous voulez vraiment faire cela, vous trouverez une autre question: "Si vous sélectionnez RDP Security Layer, vous ne pouvez pas utiliser l'authentification au niveau du réseau".

Les adresses IP qui ne sont pas présentes dans les journaux de Windows ne sont pas si peu fréquentes, surtout si (par exemple), les échecs proviennent d'un service, comme IIS et vous avez uniquement une connexion de niveau «basique» pour IIS … ou SMTP et vous Avoir une connexion au niveau «basique» pour SMTP, etc.

Ce n'est pas la façon dont je réglais mes valeurs par défaut si Windows était mon système d'exploitation, mais Gates n'a jamais demandé mes commentaires. Je suggérerais d'ajuster vos niveaux de journalisation (et d'élargir les tailles maximales de fichier journal) et de voir si cela ne résout pas le problème. Ce n'est pas que Windows ne connaît pas l'IP source, mais que le niveau de journalisation est défini de telle sorte qu'il n'écrit pas cette information. (Et, pour tout ce qui vaut la peine, définir le niveau d'enregistrement à quelque chose d'utile est l'une des premières étapes que je m'engage sur un nouveau serveur Windows ou un modèle de serveur.)

Semblable à ce que HopelessN00b a déclaré, la raison la plus probable pour laquelle vous ne voyez pas cette information est que l'échec de l'audit est généré par un service pour le compte de l'utilisateur. Ainsi, l'utilisateur ne s'authentifie pas directement (comme il le voudrait lors de la connexion à Windows par exemple), mais par le biais d'un autre service comme IIS, SQL, etc. Vous devriez analyser les journaux de ces services pour découvrir l'IP adresse.

Maintenant, si l'authentification est directement via Windows, vous devriez généralement voir l'adresse IP, ou 127.0.0.1 si elle provient de la machine locale.

Il n'existe aucune option dans Windows pour activer ou désactiver la journalisation de l'adresse IP, du moins pas à ma connaissance. Donc, il n'y a pas de «niveau réel» de journalisation. Vous activez une catégorie d'enregistrement ou non. La seule chose que vous pouvez configurer est de savoir si des erreurs d'audit et / ou des événements de réussite d'audit (peut-être voir cet article: http://blogs.technet.com/b/askds/archive/2007/10/19/introducing-auditing- Changes-in-windows-2008.aspx ).

BTW, il existe de nombreux produits gratuits là-bas qui surveillent les journaux des événements (par exemple, nous développons EventSentry ), il est généralement beaucoup plus facile d'utiliser cela plutôt que d'écrire le votre (sauf si vous le faites comme un exercice de cours :-)).

J'espère que cela t'aides.