Problem s pripojenim ke vzdalene plose.

Question

PouzivamWin 10 a na VPS mam Windows Server 2022. Kazdy den se mi objevuje tato hlaska. Drive fungovalo, ze jsem se prihlasil pres ovladaci konzoli a potom mi to slo pripojit normalne pres vzdalenou plochu. Ale ted uz to nejde. Muzete mi prosim poradit co s tim?

Answer 1

Aha, to je standalone server bez AD? Script je pro eventlog na DC. Pro standalone je samozrejme kratsi (zmenil jsem event na 4625, tzn. spatne credentials, at vidis vice detailu):

$filterHash = @{LogName = "Security"; Id = 4625; StartTime = (Get-Date).AddDays(-10)}

$lockoutEvents = Get-WinEvent -FilterHashTable $filterHash -ErrorAction SilentlyContinue

# Building output based on advanced properties

$lockoutEvents | Select @{Name = "BadPWUser"; Expression = {$_.Properties[0].Value}}, `

                        @{Name = "SourceComputer"; Expression = {$_.Properties[1].Value}}, `

                        @{Name = "DomainController"; Expression = {$_.Properties[4].Value}}, TimeCreated

Co chces sledovat? Pripojeni na RDP, nebo neuspesnou autentizaci? Oboje najdes v logu (eventvwr.exe), konkretne

Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational eventid 131, napr.

The server accepted a new TCP connection from client [fe80::f444:cdcd:f971:ace8%12]:56752

resp. script neco jako

$filterHash = @{LogName = "Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational"; Id = 131; StartTime = (Get-Date).AddDays(-10)}

$lockoutEvents = Get-WinEvent -FilterHashTable $filterHash -ErrorAction SilentlyContinue

# Building output based on advanced properties

$lockoutEvents | Select @{Name = "Transport"; Expression = {$_.Properties[0].Value}}, `

                        @{Name = "Client"; Expression = {$_.Properties[1].Value}}, `

                        TimeCreated

Windows-Security - zde hledej eventid 4625, viz vyse

MP

Answer 2

Spustil jsem a neco mi to ukazalo. Laicky receno: myslim ze dobry

Answer 3

Nevidim hlavicku, ze ktereho je to scriptu?

Sama null SID, to vypada na pokusy o prihlaseni neexistujiciho uzivatele, mozna utok co vterinu (viz napr Brute force attacks against Windows Remote Desktop ). Podivej se do logu na dalsi detaily ktere budou asi nezbytne

MP

Answer 4

Jsem pripojeny sam. ten predchozi obrazek co tam jsou jen S-1-0-1 je tvuj skript: $filterHash = @{LogName = "Security"; Id = 4625; StartTime = (Get-Date).AddDays(-10)}

$lockoutEvents = Get-WinEvent -FilterHashTable $filterHash -ErrorAction SilentlyContinue

# Building output based on advanced properties

$lockoutEvents | Select @{Name = "BadPWUser"; Expression = {$_.Properties[0].Value}}, `

                        @{Name = "SourceComputer"; Expression = {$_.Properties[1].Value}}, `

                        @{Name = "DomainController"; Expression = {$_.Properties[4].Value}}, TimeCreated

a tento druhy obrazek je z: $filterHash = @{LogName = "Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational"; Id = 131; StartTime = (Get-Date).AddDays(-10)}
$lockoutEvents = Get-WinEvent -FilterHashTable $filterHash -ErrorAction SilentlyContinue
# Building output based on advanced properties
$lockoutEvents | Select @{Name = "Transport"; Expression = {$_.Properties[0].Value}}, `
                        @{Name = "Client"; Expression = {$_.Properties[1].Value}}, `
                        TimeCreated      Mirku, mohl bych na tebe dostat kontakt?

Answer 5

Podívej se do logu jak píšu. Tedy spust eventvwr a podívej se do security logu. Ideálně kus vyexportuj a nasdilej přes onedrive, PS script jen vypisuje časy a sidy neúspěšných přihlášení, detaily by byly kontraproduktivní, nevešly by se na obrazovku.

Ale jak píšu, zda se, že máš velmi špatně zabezpečeny server vystrčený do Internetu. Z logu poznáme více, tedy asi pak bude potřeba i log rdp.

MP