Я регистрирую все сбои входа в систему RDP на своих серверах Windows через IP-адрес. В Windows Server 2012 R2 в событии 4624 средство просмотра событий показывает мне IP-адрес, а в событии 4625 - нет. Я тестировал его в Windows 10, и он показывает мне IP в двух событиях. Есть ли способ получить доступ к IP-адресу в Windows Server 2012 R2 без ущерба для его безопасности? Имеет ли это какое-либо отношение к методу аутентификации NTLM?
РЕДАКТИРОВАТЬ: Я установил программу Syspeace, и то же самое может найти IP-адреса, так что это возможно. У кого-нибудь есть идеи?
Сомнительно.
Windows изворотливо относится к тому, какие данные «снабжены» ошибками и журналами. Время от времени существуют несоответствия между версиями Windows для подобных вещей. Это происходило несколько раз, начиная с NT / 2000 дней.
Я бы также протестировал Windows 8 и Server 2016. Если вы видите, что Windows 8 и Server 2012 ведут себя одним образом, а Windows 10 и Server 2016 ведут себя иначе, то, скорее всего, это еще одна смена поколений.