Windows 7 和 Windows Server 2008 R2 中安全事件 ID 4624 中的客户端 IP 地址无效
09/14/2020
本文内容
本文解决了当客户端计算机尝试访问运行 RDP 8.0 的主机时生成事件 4624 和无效客户端 IP 地址和端口号的问题。
适用于: WindowsServer 2008 R2 Service Pack 1、Windows 7 Service Pack 1
原始 KB 编号: 3097467
症状
假定通过策略设置安装和启用 Windows 7 和 Windows Server 2008 R2 (KB2592687) 的远程桌面协议 (RDP) 8.0 更新。 当用户的远程桌面登录到该计算机时,将记录安全事件 ID 4624,并且显示无效的客户端 IP 地址和端口号,如下所示:
日志名称:安全性
来源:Microsoft-Windows-Security-Auditing
日期:9/14/2015 6:10:36 PM
事件 ID:4624
任务类别:登录
级别:信息
关键字:审核成功用户:N/A
计算机:
说明:
帐户已成功登录。
主题:
安全 ID:SYSTEM
帐户名称: < MachineName>$
帐户域:
登录 ID:0x3e7
登录类型:10
新登录:安全 ID: < DomainName>\
帐户名称: < UserName>
帐户域:
登录 ID:0x35137
登录 GUID: {00000000-0000-0000-0000-000000000000}
进程信息:
进程 ID:0x7cc
进程名称:C:Windows \ \ System32 \winlogon.exe
网络信息:
工作站名称:
源网络地址:244.230.0.0
源端口:0
详细的身份验证信息:
登录过程:User32
身份验证包:协商
已传递服务: -
仅 NTLM (程序包) : -
密钥长度:0
创建登录会话时将生成此事件。 它是在访问的计算机上生成的。
主题字段指示请求登录的本地系统上的帐户。 这最常是服务器服务等服务,或本地进程(如 Winlogon.exe 或 Services.exe)。 登录类型字段指示发生的登录类型。 最常见的类型是 2 种 (交互) 3 种 (网络) 。 登录类型字段指示发生的登录类型。 最常见的类型是 2 种 (交互) 3 种 (网络) 。 "新建登录"字段指示创建新登录的帐户,即已登录的帐户。 网络字段指示远程登录请求的来源。 工作站名称并不总是可用,在某些情况下可能保留为空。
身份验证信息字段提供有关此特定登录请求的详细信息。
登录 GUID 是可用于将此事件与 KDC 事件关联的唯一标识符。
传输的服务指示哪些中间服务已参与此登录请求。
包名称指示在 NTLM 协议中使用的子协议。
密钥长度指示生成的会话密钥的长度。 如果未请求会话密钥,则此为 0。
原因
发生此问题的原因是 RDP 8.0 中的代码更改。 在 RDP 8.0 中,客户端 IP 地址存储在WTS_SOCKADDR结构中。 这不同于 RDP 7.0 (7 和 Windows Server 2008 R2 Windows 中的默认 RDP) 。
在Windows 8 Windows Server 2012 (及更高版本的 Windows) 中,将基于新设计重写用于记录此事件的代码逻辑。 这可以防止发生此问题。
解决方案
若要解决此问题,请升级 RDP 目标计算机以Windows 8或Windows Server 2012 (或) 。 或者,在 Windows 7 或 Windows Server 2008 R2 中禁用 RDP 8.0。
更多信息
如果使用第三方 RDP 组件登录到 Windows 7 或 Windows Server 2008 R2,则当第三方组件使用相同的 WTS_SOCKADDR 结构时,也可能会遇到此问题。 在这种情况下,请考虑升级操作系统,或联系组件提供商寻求帮助。