grefabu
Goto Top

Event ID 4625 für Remote Desktop

Guten Abend,

ich setze gerade einen graylog server auf, unter anderem um die windows events auszuwerten.
Auf dem Windows Server läuft nxlog für die Übermittlung der Event an graylog.

Das funktioniert soweit auch ganz gut, ich spiele noch ein bißchen mit den nxlog Filtern.
Dabei fiel mir an der Testmaschine folgendes auf:

Verbinde ich mich erfolgreich per RDP erhalte ich im Eventlog ein 4624, also erfolgreiches Login.
Gebe ich bewußt ein falsches Passwort ein, erwartete ich ein 4625, aber der kommt nicht.

Ein Gegentest an der lokalen Konsole der VM brachte aber mit einem falschen Passwort ein 4625.

Ich habe auch schon mal in den Events des Windows Terminal Servers \ Operational geschaut.
Hier sehe ich zwar einen Verbindungsversuch, aber keinen Fehllogin.

Hat jemand eine Idee, woran das liegen kann?

Grüße

Gregor

PS Hier noch die nxlog conf, der Query Teil:

<Input security_events>
    Module    im_msvistalog
    <QueryXML>
        <QueryList>
            <Query Id="0" Path="Security">  
                <Select Path="Security">*[System[(EventID=4624 or EventID=4625 or EventID=4656 or EventID=4657  
                    or EventID=4658 or EventID=4660 or EventID=4663
                    or EventID=4664 or EventID=4670 or EventID=4985
                    or EventID=5039 or EventID=5051)]]
                </Select>
            </Query>
        </QueryList>
    </QueryXML>
    Exec      to_json();
</Input>

<Input rdp_events>
    Module    im_msvistalog
    <QueryXML>
		<QueryList>
			<Query Id="0" Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational">  
				<Select Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational">*</Select>  
			</Query>
		</QueryList>
    </QueryXML>
    Exec      to_json();
</Input>

Content-ID: 670141

Url: https://administrator.de/forum/event-id-4625-fuer-remote-desktop-670141.html

Printed on: January 13, 2025 at 10:01 o'clock

grefabu
grefabu Dec 12, 2024 at 14:03:55 (UTC)
Goto Top
Moin,

ich bin jetzt soweit, dass ich festgestellt habe, dass Maschinen die nicht in unserer Domäne sind das Event Loggen.
Ob es ein entfernter externen Server ist oder auch eine frisch aufgesetzte VM.

Ich bin jetzt mal verschiedene GPOs durchgegangen, eine Policy habe ich in Verdacht:

Es werden hier verschiedene Ereignisse unter Advanced Audit Policy Configuration -> Audit Policies aktiviert.
Hier bin ich gerade am Testen.

Grüße

Gregor
grefabu
grefabu Dec 12, 2024 at 14:57:51 (UTC)
Goto Top
Moin,

ich bin auf folgende Info gestoßen:
https://purerds.org/remote-desktop-security/auditing-remote-desktop-serv ...

Das heist, das ich wirkliche Angriffsversuche gar nicht loggen kann?

Hat sonst noch jemand eine Idee?

Grüße

Gregor