none
Защита RDS/RDP/RDG. Как получить IP адрес в событии? RRS feed

  • Вопрос

  • Добрый день.

    В нашей организации подключение к внутренним ресурсам происходит через RD Gateway. Недавно я решил как-нибудь его защитить, но понял что IPBan и RDPDefender не работают. Начал копать почему так происходит и понял что на шлюзе не записываются IP адреса в событии 4625. Стал разбираться дальше и обнаружил несколько непонятных вещей:

    1) Если смотреть логи на КД, то видно что на некоторых клиентских машинах событие 4625 содержит IP.

    2) При ошибке логина/пароля так же должно создаваться событие 140 - "Не удалось подключить клиентский компьютер с IP-адресом 10.70.0.101 из-за неправильного имени пользователя или пароля." Но у меня такие события после неправильной авторизации на шлюзе не появляются. При ошибке регистрируются события 4625 (без IP), 312 (с указанием логина и IP) и 8002 (тут ничего полезного). 

    Подскажите пожалуйста, почему так происходит? Нормальное ли это поведение? Я просто не понимаю то ли я что-то не так настроил, то ли защита RDP/RDG работает как-то слишком узконаправленно.

    5 августа 2020 г. 6:53

Все ответы