Come ottenere ulteriori informazioni su TermDD Security Layer Disconnects (Event 56)

Naviga le tue risposte
2

Nel mio registro degli eventi di amministrazione, vedo i seguenti errori:

The Terminal Server security layer detected an error in the protocol stream and has disconnected the client. Client IP: XXX.XXX.XXX.XXX

A volte vedo IP qui che non credo dovrebbe avere accesso al mio server. Il server è 2008 R2, utilizza NLA e si trova dietro un robusto Firewall di rete. NON vedo alcun evento di sicurezza (riuscito o non riuscito) dell'autenticazione di questi IP, il che mi porta a credere che non erano autenticati per cominciare, ma non sono positivo. Inoltre, non vedo alcun accesso RDP \ Terminal Logon o Disconnect da questi IP.

Come faccio a trovare ulteriori informazioni su questi eventi dopo che sono già accaduti?

    
posta TaterJuice 22.02.2016 - 20:47
fonte

1 risposta

1

Questo USULEMENTE si verifica durante i periodi di intenso traffico verso il server terminal. La connessione al server viene corrotta dal momento che il traffico diventa troppo pesante da gestire. Ho avuto questo problema con i miei utenti in un precedente lavoro e quasi ogni volta che vedevo uno di questi nel Visualizzatore eventi potevo parlare all'utente con l'IP in questione e correlarlo al momento in cui sono stati disconnessi da la loro sessione terminale.

Vedi questo per una spiegazione molto dettagliata.

Per lo più, non è un intento malevolo, ma c'è sempre la possibilità che un utente malintenzionato stia tentando di eseguire alcuni aspetti dei tuoi sistemi, incluso il tuo server terminal; a quale scopo o obiettivo farebbero questo, non posso dire, a parte i soliti obiettivi del tipo "overflow del buffer". Ancora una volta, potremmo andare avanti all'infinito su potenziali obiettivi. Per lo più non sarei troppo preoccupato perché questo è un evento molto comune sui server RDS / Terminal per Microsoft.

Tuttavia, convaliderei gli IP elencati nel log e assicurarmi che siano IP autorizzati che il tuo schema IP privato consente e che fossero in realtà da utenti legittimi sulla tua rete connessa al server.

Puoi anche controllare le impostazioni del server RDS / terminal e vedere se c'è un timeout impostato sulle sessioni; di solito ce n'è uno di default, quindi dovrei cercarlo per primo.

    
risposta data 22.02.2016 - 21:01
fonte

Leggi altre domande sui tag

VPN per proteggere il traffico da un server a un sito remoto Esiste un modo o uno strumento per verificare se una determinata app iOS sta implementando la funzionalità Pinning SSL?