Bir Aruba denetleyicisinden RADIUS için bir NPS sunucum var. Oturum açma, hatalı parola nedeniyle başarısız olduğu durumlar haricinde , Muhasebe ve kimlik doğrulama günlüğü açılır ve çalışır .
Güvenlik Günlükleri
Tüm kimlik doğrulama girişimleri, Güvenlik olay günlüğünde sunucuda görünür.
Görev Kategorisi, Oturum Açma veya Ağ İlkesi Sunucusu'dur. Kategori Ağ İlkesi Sunucusu ise, bir neden kodu , hatalı kullanıcı adı için 8, kötü etki alanı için 7, vb.
Belirtilir. NPS günlükleri ayrıca son kullanıcı cihazının MAC adresi olan "arama istasyonu kimliği" ni de belirtir. Kötü şifre girişimleri için istediğim bilgi).
Kötü Parolalar
Kötü Parola Oturum Açma Görev Kategorisi ile birlikte Güvenlik olay günlüğüne giriş yapılır.
Onlar NPS günlüklerinde görünmüyor, ve olay yok değil MAC adresini listelemek.
Başarısız oturum açma olay kimliği 6273; "neden kodu" Ben değilim değil günlüklerinde görerek 16, kullanıcı kimlik bilgileri uyumsuzluğu.
Aynı denetleyiciyi kullanarak, hatalı parolayı ve hatalı kullanıcı adını aynı aygıttan (telefonumdan) test ettim.
Bağlantı İsteği Politikaları / Ağ Politikaları
Oturum açma işleminin sırasının bir şekilde önemli olduğunu biliyorum ama nerede olduğunu bilmiyorum.
Yerel Bilgisayar olarak Kimlik Doğrulama Sağlayıcısıyla birlikte Windows kimlik doğrulamasını kullanmak için tek bir Bağlantı İsteği Politikamız var (bu bir Etki Alanı Denetleyicisi değildir).
Birden fazla Ağ Politikamız var ve telsiz için başvuran listedeki ilk kişi.
Kötü parolanın başarısız oturum açmanın NPS katmanına "yapmıyor" olduğunu anlıyorum, ancak neden olmasın? Neden kötü kullanıcı adı bu katman tarafından işleniyor, ancak hatalı parola değil? Farklı işlem gördükleri oturumların nesi var? (Fark DC'den farklı bir dönüş kodu değil mi?)
düzenleme: Biraz daha araştırma yaptıktan sonra, için (NPS tam erişim izni) hemen 6278 öncesi güvenlik olay günlüğüne bir 4624 (başarılı oturum açma) girdisi olduğu görülmektedir başarılı bağlantıları. Öyleyse hesapların bu ilk (ağ) oturum açmasını geçmesi gerekiyor.
Ancak, "hatalı kullanıcı adları" için bunların Ağ İlkesi koşullarında filtrelendiğine inanıyorum. Şu anda (diğer şeylerin yanı sıra) koşullardan biri, hesabın Etki Alanı Kullanıcıları'nda olması gerektiğidir. Bu hatalı kullanıcı adları için doğru değil .
Her iki durumda da , bu noktada geçersiz bir kısıtlama olması gerektiğinden, neden kötü bir parola girişiminin NPS tarafından işlenmeyeceğinden emin değilim .