Будут ли представлены в журналах брандмауэра неудачные попытки входа на сервер RDP?
Предположим топологию ниже: 
Хост A удаленно подключается по RDP к хосту B, между ними есть межсетевой экран. Журналы брандмауэра собираются и контролируются.
Что происходит, когда пользователю во всплывающем окне безопасности Windows предлагается ввести пароль и вводить неверный пароль?
В момент, когда пользователю на узле A отображается всплывающее окно безопасности Windows, он уже установил сеанс RDP с узлом B или сеанс установлен после отправки правильного пароля? Или, на самом деле, мой вопрос - что action будет видно в журналах брандмауэра - allowed или denied?
Я спрашиваю об этом после того, как заметил 40 allowed события межсетевого экрана за 7 минут с портом назначения 3389, из того же источника в то же место назначения, и я не знаю, как интерпретировать то, что произошло.
Брандмауэр регистрирует трафик. Он разрешает трафик на основе конфигурации правила. В журнале брандмауэра должно быть указано «разрешено», потому что это распределение этого конкретного трафика. Вы разрешаете входящий RDP, поэтому брандмауэр регистрирует этот трафик как разрешенный.
Журнал брандмауэра не имеет ничего общего с ошибкой аутентификации и не регистрирует ошибку аутентификации. Он регистрирует трафик.