địa chỉ IP máy tính khách không hợp lệ trong ID 4624 sự kiện bảo mật trong Windows 7 và Windows Server 2008 R2

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 3097467
Triệu chứng
Giả sử rằng Remote Desktop Protocol (RDP) 8.0 Cập Nhật cho Windows 7 và Windows Server 2008 R2 (KB2592687) được cài đặt chuyên biệt và kích hoạt thông qua thiết đặt chính sách. Khi máy tính để bàn từ xa của người dùng kí nhập vào máy tính, sự kiện bảo mật ID 4624 kí nhập và hiển thị một khách hàng không hợp lệ IP địa chỉ và cổng số, như sau:

Log Name:      SecuritySource:        Microsoft-Windows-Security-AuditingDate:          9/14/2015 6:10:36 PMEvent ID:      4624Task Category: LogonLevel:         InformationKeywords:      Audit SuccessUser:          N/AComputer:      <computerFQDN> Description:An account was successfully logged on. Subject:       Security ID:            SYSTEM       Account Name:          < MachineName>$       Account Domain:         <DomainName>       Logon ID:         0x3e7  Logon Type:             10 New Logon:       Security ID:           < DomainName>\<username>       Account Name:          < UserName>       Account Domain:         <DomainName>       Logon ID:         0x35137       Logon GUID:       {00000000-0000-0000-0000-000000000000}  Process Information:       Process ID:       0x7cc       Process Name:           C:\Windows\System32\winlogon.exe Network Information:       Workstation Name:<computername>       Source Network Address: 244.230.0.0       Source Port:            0 Detailed Authentication Information:      Logon Process:          User32       Authentication Package: Negotiate      Transited Services:     -      Package Name (NTLM only):     -      Key Length:       0 This event is generated when a logon session is created. It is generated on the computer that was accessed. The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network). The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network). The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on. The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.The authentication information fields provide detailed information about this specific logon request.       - Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.       - Transited services indicate which intermediate services have participated in this logon request.       - Package name indicates which sub-protocol was used among the NTLM protocols.       - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Nguyên nhân
Sự cố này xảy ra do thay đổi mã trong RDP 8.0. Trong RDP 8.0, địa chỉ IP của máy tính khách được lưu trữ trong một cấu trúc WTS_SOCKADDR. Điều này khác với RDP 7.0 (mặc định RDP Phiên bản Windows 7 và Windows Server 2008 R2).

Windows 8 và Windows Server 2012 (và các phiên bản mới hơn của Windows), logic mã để ghi nhật ký sự kiện này được viết lại dựa trên thiết kế mới. Mà ngăn chặn vấn đề này xảy ra.
Giải pháp
Để giải quyết vấn đề này, nâng cấp máy tính đích RDP Windows 8 hoặc Windows Server 2012 (hoặc mới hơn). Hoặc vô hiệu hoá RDP 8.0 trong Windows 7 hoặc Windows Server 2008 R2.
Thông tin thêm
Bạn cũng có thể gặp phải vấn đề này nếu bạn đang sử dụng một cấu phần RDP bên thứ ba để kí nhập vào Windows 7 hoặc Windows Server 2008 R2 khi đó thành phần của bên thứ ba sử dụng cùng một cấu trúc WTS_SOCKADDR. Trong trường hợp này, xem xét việc nâng cấp hệ điều hành, hoặc liên hệ với nhà cung cấp phần để được hỗ trợ.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 3097467 - Xem lại Lần cuối: 10/06/2015 10:02:00 - Bản sửa đổi: 2.0

Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Service Pack 1, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate

  • kbmt KB3097467 KbMtvi
Phản hồi