Я обнаружил несколько неудачных событий входа в систему «4625» на моем терминальном сервере Windows. Я был совершенно уверен, что это произошло из-за доступа по RDP извне. Я закрыл доступ по RDP извне, но у меня все еще есть множество неудачных событий входа в систему.
Имя пользователя для этих попыток генерируется случайным образом. Плохо то, что исходный IP-адрес пуст.
Я не могу выключить терминальный сервер в рабочее время. Каковы дальнейшие действия по устранению / решению этой проблемы?
Начиная с Windows 7 и Windows Server 2008 R2, сетевой захват является встроенным и встроенным в ОС Windows. Есть хорошая запись в блоге, с которой можно начать Вот.
Вы можете настроить фильтр захвата только для захвата трафика на порт 3389 (RDP), а затем просмотреть захват с помощью Network Monitor 3.3 (загружается с Microsoft). Просматривать попытки подключения RDP должно быть довольно легко, и было бы невозможно скрыть исходный IP-адрес.
Действительной альтернативой нативным инструментам будет Wireshark.