Cómo obtener más información sobre las Desconexiones de la capa de seguridad de TermDD (Evento 56)

Navega tus respuestas
2

En mi registro de eventos de administrador, veo los siguientes errores:

  

La capa de seguridad de Terminal Server detectó un error en el protocolo   Stream y ha desconectado al cliente. IP del cliente: XXX.XXX.XXX.XXX

A veces veo IP aquí que no creo que deban tener acceso a mi servidor. El servidor es 2008 R2, usa NLA y se encuentra detrás de un Firewall de red robusto. NO veo ningún evento de seguridad (ya sea exitoso o fallido) de la autenticación de estos IP, lo que me lleva a creer que, para empezar, no se autenticaron, pero no soy positivo. Tampoco veo ningún evento RDP \ Terminal Logon o Disconnect de estas IPs.

¿Cómo puedo obtener más información sobre estos eventos después de que ya hayan ocurrido?

    
pregunta TaterJuice 22.02.2016 - 20:47
fuente

1 respuesta

1

Este USUALLY ocurre durante tiempos de mucho tráfico al servidor de terminal. La conexión con el servidor se corrompe a medida que el tráfico se vuelve demasiado pesado para manejar. Ocurrió esto con mis usuarios en un trabajo anterior bastante y casi cada vez que veía uno de estos en el Visor de eventos, podía hablar con el usuario con la IP en cuestión y relacionarla con el momento en que se desconectaron de su sesión terminal.

Vea esto para una explicación muy detallada.

La mayoría de las veces no tiene intenciones maliciosas, pero siempre existe la posibilidad de que un atacante intente hacer ciertos aspectos de sus sistemas, incluido el servidor de su terminal; A qué fin u objetivo harían esto, no puedo decir, aparte de los objetivos habituales del tipo de desbordamiento de búfer. Una vez más, podríamos seguir para siempre sobre los objetivos potenciales. En general, no me preocuparía demasiado, ya que esto es algo muy común en los servidores RDS / Terminal para Microsoft.

Sin embargo,

validaría las IP que figuran en el registro y me aseguraré de que sean IP autorizadas que permita su esquema de IP privado y que, de hecho, fueran de usuarios legítimos en su red conectada al servidor.

También puede verificar la configuración del servidor RDS / terminal y ver si hay un tiempo de espera establecido en las sesiones; por lo general, hay uno predeterminado, así que buscaría eso primero.

    
respondido por el Brad Bouchard 22.02.2016 - 21:01
fuente

Lea otras preguntas en las etiquetas

SOP para ataque de inyección SQL CSRF en llamadas API desde Javascript en el navegador