Microsoft远程Web Access
您可以配置您的Windows Server 2012 R2 Essentials或Windows Server 2016 Essentials,以允许远程访问,而在VPN上。然后,您可以将身份验证事件捕获为InsightIDR要摄取的审计日志。
开始捕获VPN日志与这些Windows基本服务器:
配置远程Web访问
微软社区提供了关于如何配置远程网络访问的详细说明:https://techcommunity.microsoft.com/t5/Windows-Server-Essentials-and/Configuring-and-Customizing-Remote-Web-Access-on-Windows-Server/ba-p/398904
或者按照以下说明安装远程访问服务器:
- 在Windows服务器上,单击启动或Home > Windows Server Essential Dashboard。
- 在“开始”页面,点击设置随处访问>单击,配置随处访问。
- 出现“设置任何地方访问”窗口。如果您想跳过路由器设置,请选中此框,然后单击下一个按钮。
- 在“建立你的域名”部分,提供你的域名信息或选择建立一个新的域名。单击下一个按钮。
- 完成以下配置域名的步骤,然后单击下一个或设置.
- 在“设置任意访问”部分,选中这两个框来配置VPN和远程Web访问。单击下一个按钮。
远程访问服务器和VPN的安装将在后台执行。7.单击完成按钮时,它完成。
微软VPN配置
微软社区提供了关于设置远程访问的VPN的详细文档:https://techcommunity.microsoft.com/t5/Windows-Server-Essentials-and/Understanding-VPN-configuration-in-Windows-Server-2012-R2/ba-p/398928
也可以按照下面的说明配置VPN:
- 在您的Windows服务器上,导航到“路由和远程访问”,在安装VPN和远程访问服务器后应该可用。
- 右键单击新的远程服务器并单击属性选择。
- 在“常规”选项卡,检查IPv4远程接入服务器盒子。单击应用按钮。
- 在“安全”选项卡,点击身份验证方法按钮,然后检查选项可扩展认证协议(EAP)和微软加密认证版本2 (MS-CHAPv2).然后舔好吧按钮。
- 单击应用按钮。
- 在“IPv4”页签中,您可以选择是否希望您的VPN客户端接收静态IP地址或从DHCP接收分配的IP地址。
- 单击应用按钮。
- 在“Logging”选项卡上,选择记录所有事件单选按钮和检查日志附加路由和远程访问信息复选框。
- 单击好吧按钮。
VPN日志可在C:\Windows\Tracing目录中。
添加VPN事件源
在Windows服务器上配置远程web访问服务器并捕获VPN日志后,可以在InsightIDR中获取VPN日志。
这样做:
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击VPN图标。出现“添加事件源”面板。
- 选择您的收集器和选择Microsoft远程Web Access作为事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配。
- 选择发送未经过滤的日志.
- 配置您的默认域和任何高级设置.
- 选择看目录作为你的数据收集方法然后勾选复选框查看共享远程目录。
- 选择Windows服务器的现有凭据或可选凭据创建一个新的凭证.
- 请输入VPN日志的默认文件夹路径,
C:\Windows\Tracing - 输入扫描间隔,表示InsightIDR检查文件路径的频率。
- 可以选择包含日志文件的文件模式。
- 单击保存按钮。
这个页面对你有帮助吗?