683
用戶在未注銷的情況下斷開終端服務(wù)會話。此事件是在用戶通過網(wǎng)絡(luò)連接終端服務(wù)會話時生成的。它出現(xiàn)在終端服務(wù)器上。


使用登錄事件項可診斷下面的安全事件：

• 本地登錄嘗試失敗
下列任意事件 ID 都表示登錄嘗試失敗：529、530、531、532、533、534 和 537。假如攻擊者使用本地帳戶的用戶名和密碼組合，但并未猜出，則看到事件 529 和 534。但是，假如用戶忘記了密碼，或通過“網(wǎng)上鄰居”瀏覽網(wǎng)絡(luò)，也可能產(chǎn)生這些事件。

在大型環(huán)境中，可能很難有效說明這些事件。作為一種規(guī)則，假如這些模式重復(fù)發(fā)生，或符合其他一些非正常因素，則應(yīng)研究這些模式。例如，半夜，在發(fā)生若干 529 事件后發(fā)生了 528 事件，可能表示密碼攻擊成功（或治理員非常疲憊）。

• 帳戶濫用
事件 530、531、532 和 533 表示用戶帳戶被濫用。這些事件表示輸入的帳戶/密碼組合是正確的，但由于其他一些限制而阻止了成功登錄。只要有可能，請仔細研究這些事件，確定是否發(fā)生了濫用，或是否需要修改當(dāng)前的限制。例如，可能需要延長帳戶的登錄時間。

• 帳戶鎖定
事件 539 表示帳戶已被鎖定。這表示密碼攻擊已失敗。您應(yīng)查找同一用戶帳戶以前產(chǎn)生的 529 事件，嘗試弄清登錄的模式。

• 終端服務(wù)攻擊
終端服務(wù)會話可能停留在連接狀態(tài)，使一些進程得以在會話結(jié)束后繼續(xù)運行。事件 ID 683 表示用戶沒有從終端服務(wù)會話注銷，事件 ID 682 表示發(fā)生了到上一個已斷開連接會話的連接。


Contoso 監(jiān)視大量的登錄嘗試失敗和大量帳戶鎖定。在這樣的環(huán)境中，由于一些合理的原因，常要讓用戶將終端服務(wù)會話保持斷開狀態(tài)。

帳戶登錄事件
當(dāng)用戶登錄域時，這種登錄在域控制器中處理。假如在域控制器中審核帳戶登錄事件，則會在驗證該帳戶的域控制器上記錄此登錄嘗試。帳戶登錄事件是在身份驗證程序包驗證用戶的憑據(jù)時創(chuàng)建的。只有使用域憑據(jù)，才會在域控制器的事件日志中生成帳戶登錄事件。假如提供的憑據(jù)為本地安全帳戶治理器 (SAM) 數(shù)據(jù)庫憑據(jù)，則會在服務(wù)器的安全事件日志中創(chuàng)建帳戶登錄事件。

因為帳戶登錄事件可能會記錄在域的任何有效域控制器中，所以必須確保將各域控制器中的安全日志合并，以分析該域中的所有帳戶登錄事件。

注重：與登錄事件相同，帳戶登錄事件既包括計算機登錄事件，也包括用戶登錄事件。

作為“成員服務(wù)器和域控制器基準策略”的一部分，成功和失敗的帳戶登錄事件都應(yīng)啟用審核。因此，應(yīng)能看到網(wǎng)絡(luò)登錄和終端服務(wù)身份驗證的下列事件 ID。

表 2：事件日志中的帳戶登錄事件

事件 ID 說明
672
身份驗證服務(wù) (AS) 票證已成功簽發(fā)和驗證。

673
已授予票證授予服務(wù) (TGS) 票證。

674
安全主要對象續(xù)訂了 AS 票證或 TGS 票證。

675
預(yù)身份驗證失敗。

676
身份驗證票證請求失敗。

677
未授予 TGS 票證。

678
某個帳戶已成功映射到域帳戶。

680
標識成功登錄的帳戶。此事件還指出了驗證帳戶的身份驗證程序包。

681
嘗試域帳戶登錄。

682
用戶重新連接一個已斷開的終端服務(wù)會話。

683
用戶在沒有注銷的情況下斷開了終端服務(wù)會話。


對于每個這樣的事件，事件日志都會顯示每個特定登錄的具體信息。使用帳戶登錄事件項可診斷下面的安全事件：

• 域登錄嘗試失敗
事件 ID 675 和 677 表明登錄域的嘗試失敗。

• 時間同步問題
假如客戶計算機的時間與身份驗證域控制器的時間不同，多了五分鐘（默認情況），則安全日志中顯示事件 ID 675。

• 終端服務(wù)攻擊
終端服務(wù)會話可能停留在連接狀態(tài)，使一些進程得以在會話結(jié)束之后繼續(xù)運行。事件 ID 683 表示用戶沒有從終端服務(wù)會話注銷，事件 ID 682 則表示發(fā)生了到上一個已斷開連接會話的連接。要防止斷開連接，或要終止這些已斷開的會話，請在“終端服務(wù)配置”控制臺中的 RDP-TCP 協(xié)議屬性中定義“time interval to end disconnected session”（結(jié)束已斷開會話的時間間隔）。

查看更多 動易Cms教程  動易Cms模板