Microsoft远程Web访问

您可以配置您的Windows Server 2012 R2 Essentials或Windows Server 2016 Essentials,以允许远程访问,而在VPN上。然后,您可以将身份验证事件捕获为InsightIDR要摄取的审计日志。

要开始使用这些Windows Essential服务器捕获VPN日志,请执行以下操作:

  1. 配置远程Web访问
  2. 配置Microsoft VPN
  3. 添加VPN事件源

配置远程Web访问

微软社区提供了关于如何配置远程网络访问的详细说明:https://techcommunity.microsoft.com/t5/Windows-Server-Essentials-and/Configuring-and-Customizing-Remote-Web-Access-on-Windows-Server/ba-p/398904

或者按照以下说明安装远程访问服务器:

  1. 在Windows服务器上,单击开始或主页>Windows Server基本仪表板。
  2. 在“入门”页面上,单击设置随处访问>单击,配置随处访问。
  1. 出现“设置任何地方访问”窗口。如果您想跳过路由器设置,请选中此框,然后单击下一个按钮
  2. 在“建立你的域名”部分,提供你的域名信息或选择建立一个新的域名。单击下一个按钮
  3. 完成以下任何配置域名的步骤,然后单击下一个设置.
  4. 在“设置任意访问”部分,选中这两个框来配置VPN和远程Web访问。单击下一个按钮

远程访问服务器和VPN的安装将在后台执行。7.点击完成按钮时,它是完整的。

配置Microsoft VPN

Microsoft社区在此处提供了有关设置VPN以进行远程访问的详细文档:https://techcommunity.microsoft.com/t5/Windows-Server-Essentials-and/Understanding-VPN-configuration-in-Windows-Server-2012-R2/ba-p/398928

也可以按照下面的说明配置VPN:

  1. 在您的Windows服务器上,导航到“路由和远程访问”,在安装VPN和远程访问服务器后应该可用。
  2. 右键单击新的远程服务器并单击属性选项
  3. 在“常规”选项卡,检查IPv4远程访问服务器盒点击申请按钮
  1. 在“安全”选项卡中,单击身份验证方法按钮,然后检查选项可扩展身份验证协议(EAP)Microsoft加密身份验证版本2(MS-CHAPv2). 然后舔舔桌子好吧按钮
  2. 单击申请按钮
  3. 在“IPv4”选项卡上,您可以选择是否希望VPN客户端接收静态IP地址或从DHCP接收分配的IP。
  4. 单击申请按钮
  5. 在“Logging”选项卡上,选择记录所有事件单选按钮并检查记录其他路由和远程访问信息复选框。
  6. 单击好吧按钮

VPN日志可在C:\Windows\Tracing目录中。

添加VPN事件源

在Windows服务器上配置远程web访问服务器并捕获VPN日志后,可以在InsightIDR中获取VPN日志。

为此:

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当数据收集页面出现时,单击设置事件源下拉选择添加事件源.
  3. 从“安全数据”部分,单击虚拟专用网偶像此时会出现“添加事件源”面板。
  4. 选择您的收集器并选择Microsoft远程Web访问作为事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配的。
  6. 可选择发送未过滤原木.
  7. 配置您的默认域还有高级设置.
  8. 选择监视目录作为你的数据收集方法然后选中复选框以查看共享远程目录。
  9. 选择Windows服务器的现有凭据或可选凭据创建新凭据.
  10. 请输入VPN日志的默认文件夹路径,C:\Windows\Tracing
  11. 输入InsightIDR检查文件路径的频率的扫描间隔。
  12. 可以选择包含日志文件的文件模式。
  13. 单击保存按钮