Nhìn vào nhật ký NPS của chúng tôi, tôi thấy chúng tôi đang gặp khó khăn; một số diễn viên trực tuyến đang thực hiện vũ phu đối với nhiều tên đăng nhập và mật khẩu khác nhau.
Nói chung đây không phải là một vấn đề ... được nêu ra. Có vẻ như không có vi phạm nào xảy ra (đặc biệt là vì không phải một lần đăng nhập được thực hiện nhiều lần mà là các tên đăng nhập ngẫu nhiên).
Tuy nhiên, tôi đã xác định được một số vấn đề chính mà tôi chưa chắc chắn về cách giải quyết.
- Máy chủ lưu trữ NPS chịu trách nhiệm xác thực đối với DC của chúng tôi và nó chứa nhật ký (hơi cũ). Thật không may, tôi đã phát hiện ra rằng IP nguồn cho những nỗ lực này là tường lửa của chúng tôi, chứ không phải bất kỳ nguồn trực tuyến nào và tôi nghi ngờ rằng tường lửa của chúng tôi đã bị xâm phạm.Vì chúng tôi đang xử lý giao thức SSTP nên tôi phải thiết lập quy tắc DNAT; Tôi hiểu rằng quy tắc này sẽ vượt qua IP nguồn, nhưng nhìn vào nhật ký có vẻ như không đúng như vậy. Quy tắc DNAT có nên vượt qua IP nguồn không? Nếu không, thì tôi nên thiết lập loại quy tắc tường lửa nào để ghi nhật ký hoạt động bình thường?
- Nhìn vào các yêu cầu xác thực thành công, tôi không thể thấy bất kỳ cách nào để tìm IP mà chúng đã được chỉ định. Tất nhiên, tôi có thể nhìn vào chính máy chủ SSTP để xem các kết nối HOẠT ĐỘNG, nhưng nếu có điều gì đó đã xảy ra trong quá khứ thì có vẻ như thông tin đó đã bị mất. Rất có thể trước tiên tôi cần kích hoạt một thứ gì đó để lưu thông tin đó, nhưng tôi đã tìm kiếm rồi và không tìm thấy gì cả. Thuộc tính SSTP có phần "Ghi nhật ký"... dường như không hoạt động. Tệp đích (
%windir%\tracing\RaMgmtUIMon.log) dường như trống.
- Có cách nào để triển khai một số loại hệ thống "chống búa" cho SSTP không
