Windows 7 和 Windows Server 2008 R2 中安全事件 ID 4624 中的客户端 IP 地址无效

本文提供了一个问题的解决方法:当客户端计算机尝试访问运行 RDP 8.0 的主计算机时,会生成事件 4624 和无效的客户端 IP 地址和端口号。

适用于: Windows Server 2008 R2 Service Pack 1、Windows 7 Service Pack 1
原始 KB 编号: 3097467

症状

假设通过策略设置安装和启用了 Windows 7 和 Windows Server 2008 R2 (KB2592687) 的远程桌面协议 (RDP) 8.0 更新。 当用户的远程桌面登录到该计算机时,将记录安全事件 ID 4624,并显示无效的客户端 IP 地址和端口号,如下所示:

日志名称:安全性
源:Microsoft-Windows-Security-Auditing
日期:2015/9/14 下午 6:10:36
事件 ID:4624
任务类别:登录
级别:信息
关键字:Audit SuccessUser:N/A
计算机: <computerFQDN>
说明:
已成功登录帐户。

主题:
安全 ID:SYSTEM
帐户名称: < MachineName>$
帐户域: <DomainName>
登录 ID:0x3e7

登录类型:10

新建登录:安全 ID: < DomainName>\<username>
帐户名称: < UserName>
帐户域: <DomainName>
登录 ID:0x35137
登录 GUID: {00000000-0000-0000-0000-000000000000}

进程信息:
进程 ID:0x7cc
进程名称:C:\Windows\System32\winlogon.exe

网络信息:
工作站名称:<computername>
源网络地址:244.230.0.0
源端口:0

详细的身份验证信息:
登录过程:User32
身份验证包:协商
传输的服务: -
仅) (NTLM 的包名称:
键长度:0

创建登录会话时会生成此事件。 它是在已访问的计算机上生成的。
主题字段指示请求登录的本地系统上的帐户。 这是最常见的服务,如服务器服务,或本地进程,如Winlogon.exe或Services.exe。 登录类型字段指示发生的登录类型。 最常见的类型是 2 (交互式) 和 3 个 (网络) 。 登录类型字段指示发生的登录类型。 最常见的类型是 2 (交互式) 和 3 个 (网络) 。 “新建登录”字段指示为其创建了新登录的帐户,即已登录的帐户。 网络字段指示远程登录请求的来源。 工作站名称并不总是可用的,在某些情况下可能会留空。

身份验证信息字段提供有关此特定登录请求的详细信息。

  • 登录 GUID 是一种唯一标识符,可用于将此事件与 KDC 事件相关联。
  • 传输的服务指示哪些中间服务参与了此登录请求。
  • 包名称指示在 NTLM 协议中使用的子协议。
  • 键长度指示生成的会话密钥的长度。 如果没有请求会话密钥,则此值为 0。

原因

出现此问题的原因是 RDP 8.0 中的代码发生更改。 在 RDP 8.0 中,客户端 IP 地址存储在WTS_SOCKADDR结构中。 这与 RDP 7.0 不同 (Windows 7 和 Windows Server 2008 R2) 中的默认 RDP 版本。

在Windows 8和Windows Server 2012 (及更高版本的 Windows) 中,基于新设计重写用于记录此事件的代码逻辑。 这可防止此问题发生。

解决方案

若要解决此问题,请将 RDP 目标计算机升级到Windows 8或Windows Server 2012 (或更高版本) 。 或者,在 Windows 7 或 Windows Server 2008 R2 中禁用 RDP 8.0。

更多信息

如果使用第三方 RDP 组件登录到 Windows 7 或 Windows Server 2008 R2,当第三方组件使用相同的WTS_SOCKADDR结构时,也可能会遇到此问题。 在这种情况下,请考虑升级 OS,或联系组件提供程序以获取帮助。