主页 / server / 问题 / 822206
Accepted
The Humble Rat
Asked: 2016-12-23 01:00:28 +0800 CST

Windows Server Wail2ban 和文件夹共享不能一起工作 - 错误 4625 没有 IP

  • 772

我在 VM 上安装了新的 Windows Server 2012,我打算使用 Wail2ban ( https://github.com/glasnt/wail2ban ) 来尝试阻止攻击服务器的人。

我已经成功添加了 Wail2ban,并且现在可以使用它,但它肯定不是直截了当的。我们需要在 gpedit.msc 中更改一些设置,以便让攻击主机的 IP 真正显示在事件查看器中。最初没有在事件中显示源地址。

通过更改大约三个设置,我现在可以正常工作,但我现在无法访问服务器上的共享文件。

我必须更改的一项设置是 gpedit.msc->计算机配置->Windows 设置->安全设置->本地策略->安全选项->网络安全:限制 NTLM:传入 NTLM 流量我已将其设置为“拒绝所有帐户"并且我确实在事件查看器中获得了攻击者的 ip,但我无法访问共享文件。使用“全部允许”/“拒绝所有域”的其他设置,我无法在事件查看器中获得 IP,但我可以访问共享文件。

有谁知道我如何才能同时工作,或者这只是不行?

windows windows-firewall windows-server-2012

2 个回答

  1. Best Answer

    我现在做了一些改动。

    我已将 NTLM 设置改回默认设置,除非您已关注其他文章并更改了这些设置,否则无需这样做。

    一位评论者向我指出了Event ID 4625 without Source IP的方向。似乎在扩展日志中记录了 IP,而不是在事件 4625 中。

    我按照以下文章访问扩展日志并添加了注册表项Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational

    然后我更改了文件中的一行wail2ban.ps1以允许使用这些日志

    $EventTypes = "Application,Security,System,Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational"     #Event logs we allow to be processed

    我还必须更改 wail2ban_config 以添加日志文件并引用事件类型 ID

    # Wail2ban Configuration
[Events]
#[Security]
#4625=RDP Logins
#[Application]
#18456=MSSQL Logins
[Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational]
140=RDP Logins
[Whitelist]
# Add your whitelist here, in the format `IP = Comment`
# Supports plain IPs , e.g. `12.34.56.78  = My Machine` 
# Also, ranges, e.g. `11.22.33.0/24 = My Company Range`

    添加[Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational]部分是这里重要的事情。

    一旦我重新启动,注册表更改就会生效,wail2ban 开始按预期工作。

    我发现wbemtest(投入运行)在这里很有用,因为您可以查询日志并检查是否Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational属于Win32_NTLogEvent

    虽然我现在有这个工作,但我将研究@moteus 提出的解决方案,因为这看起来是一个有趣的解决方案,可以轻松移动和安装。

    • 3

  2. 我认为在不改变源的情况下使用 Wail2Ban 是不可能的。这就是我用nxlog和我的SpyLog服务解决这个问题的方法。1. 我从事件 140 重定向Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational。这个事件有 IP 地址。我在这个答案中找到了这个事件

    <Input eventlog>
    Module       im_msvistalog
    SavePos      TRUE
    ReadFromLast TRUE
    Channel      "Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational"
    <QueryXML>
        <QueryList>
            <Query Id="0" Path="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational">
                <Select Path="Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational">*[System[(EventID=140)]]</Select>
            </Query>
        </QueryList>
    </QueryXML>
</Input>

<Output spylog>
    Module      om_udp
    Host        127.0.0.1
    Port        614
    Exec        $raw_event = "EventID: " + $EventID + "; " + $Message;
</Output>

<Route 1>
    Path        eventlog => spylog
</Route>
    1. 在 SpyLog 我添加了新的过滤器,如
    FILTER{ "nxlog-rdp";
  enabled = true;
  source = "net:udp://127.0.0.1:614";
  exclude = WHITE_IP;
  hint = "EventID: 140";
  failregex = {
    "^EventID: 140; A connection from the client computer with an IP address of ([%d%.:]+)";
    -- UTF8
    "^EventID: 140; Не удалось подключить клиентский компьютер с IP%-адресом ([%d%.:]+)";
  };
};
    • 1

相关问题