683
用戶在未注銷的情況下斷開終端服務(wù)會(huì)話。此事件是在用戶通過網(wǎng)絡(luò)連接終端服務(wù)會(huì)話時(shí)生成的。它出現(xiàn)在終端服務(wù)器上。


使用登錄事件項(xiàng)可診斷下面的安全事件：

• 本地登錄嘗試失敗
下列任意事件 ID 都表示登錄嘗試失�。�529、530、531、532、533、534 和 537。假如攻擊者使用本地帳戶的用戶名和密碼組合，但并未猜出，則看到事件 529 和 534。但是，假如用戶忘記了密碼，或通過“網(wǎng)上鄰居”瀏覽網(wǎng)絡(luò)，也可能產(chǎn)生這些事件。

在大型環(huán)境中，可能很難有效說明這些事件。作為一種規(guī)則，假如這些模式重復(fù)發(fā)生，或符合其他一些非正常因素，則應(yīng)研究這些模式。例如，半夜，在發(fā)生若干 529 事件后發(fā)生了 528 事件，可能表示密碼攻擊成功（或治理員非常疲憊）。

• 帳戶濫用
事件 530、531、532 和 533 表示用戶帳戶被濫用。這些事件表示輸入的帳戶/密碼組合是正確的，但由于其他一些限制而阻止了成功登錄。只要有可能，請仔細(xì)研究這些事件，確定是否發(fā)生了濫用，或是否需要修改當(dāng)前的限制。例如，可能需要延長帳戶的登錄時(shí)間。

• 帳戶鎖定
事件 539 表示帳戶已被鎖定。這表示密碼攻擊已失敗。您應(yīng)查找同一用戶帳戶以前產(chǎn)生的 529 事件，嘗試弄清登錄的模式。

• 終端服務(wù)攻擊
終端服務(wù)會(huì)話可能停留在連接狀態(tài)，使一些進(jìn)程得以在會(huì)話結(jié)束后繼續(xù)運(yùn)行。事件 ID 683 表示用戶沒有從終端服務(wù)會(huì)話注銷，事件 ID 682 表示發(fā)生了到上一個(gè)已斷開連接會(huì)話的連接。


Contoso 監(jiān)視大量的登錄嘗試失敗和大量帳戶鎖定。在這樣的環(huán)境中，由于一些合理的原因，常要讓用戶將終端服務(wù)會(huì)話保持?jǐn)嚅_狀態(tài)。

帳戶登錄事件
當(dāng)用戶登錄域時(shí)，這種登錄在域控制器中處理。假如在域控制器中審核帳戶登錄事件，則會(huì)在驗(yàn)證該帳戶的域控制器上記錄此登錄嘗試。帳戶登錄事件是在身份驗(yàn)證程序包驗(yàn)證用戶的憑據(jù)時(shí)創(chuàng)建的。只有使用域憑據(jù)，才會(huì)在域控制器的事件日志中生成帳戶登錄事件。假如提供的憑據(jù)為本地安全帳戶治理器 (SAM) 數(shù)據(jù)庫憑據(jù)，則會(huì)在服務(wù)器的安全事件日志中創(chuàng)建帳戶登錄事件。

因?yàn)閹�戶登錄事件可能�?huì)記錄在域的任何有效域控制器中，所以必須確保將各域控制器中的安全日志合并，以分析該域中的所有帳戶登錄事件。

注重：與登錄事件相同，帳戶登錄事件既包括計(jì)算機(jī)登錄事件，也包括用戶登錄事件。

作為“成員服務(wù)器和域控制器基準(zhǔn)策略”的一部分，成功和失敗的帳戶登錄事件都應(yīng)啟用審核。因此，應(yīng)能看到網(wǎng)絡(luò)登錄和終端服務(wù)身份驗(yàn)證的下列事件 ID。

表 2：事件日志中的帳戶登錄事件

事件 ID 說明
672
身份驗(yàn)證服務(wù) (AS) 票證已成功簽發(fā)和驗(yàn)證。

673
已授予票證授予服務(wù) (TGS) 票證。

674
安全主要對(duì)象續(xù)訂了 AS 票證或 TGS 票證。

675
預(yù)身份驗(yàn)證失敗。

676
身份驗(yàn)證票證請求失敗。

677
未授予 TGS 票證。

678
某個(gè)帳戶已成功映射到域帳戶。

680
標(biāo)識(shí)成功登錄的帳戶。此事件還指出了驗(yàn)證帳戶的身份驗(yàn)證程序包。

681
嘗試域帳戶登錄。

682
用戶重新連接一個(gè)已斷開的終端服務(wù)會(huì)話。

683
用戶在沒有注銷的情況下斷開了終端服務(wù)會(huì)話。


對(duì)于每個(gè)這樣的事件，事件日志都會(huì)顯示每個(gè)特定登錄的具體信息。使用帳戶登錄事件項(xiàng)可診斷下面的安全事件：

• 域登錄嘗試失敗
事件 ID 675 和 677 表明登錄域的嘗試失敗。

• 時(shí)間同步問題
假如客戶計(jì)算機(jī)的時(shí)間與身份驗(yàn)證域控制器的時(shí)間不同，多了五分鐘（默認(rèn)情況），則安全日志中顯示事件 ID 675。

• 終端服務(wù)攻擊
終端服務(wù)會(huì)話可能停留在連接狀態(tài)，使一些進(jìn)程得以在會(huì)話結(jié)束之后繼續(xù)運(yùn)行。事件 ID 683 表示用戶沒有從終端服務(wù)會(huì)話注銷，事件 ID 682 則表示發(fā)生了到上一個(gè)已斷開連接會(huì)話的連接。要防止斷開連接，或要終止這些已斷開的會(huì)話，請?jiān)凇敖K端服務(wù)配置”控制臺(tái)中的 RDP-TCP 協(xié)議屬性中定義“time interval to end disconnected session”（結(jié)束已斷開會(huì)話的時(shí)間間隔）。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板