В последнее время в моем журнале событий появляется следующая ошибка (прикрепленный файл). Итак, я пытаюсь выяснить, как этот IP (исходный сетевой адрес) смог аутентифицировать данные для входа.
Я подключаюсь к своему веб-серверу только через RDP, через специальный порт № (настраивается в брандмауэре Windows) и через VPN (Peap). Мой сервер является общедоступным, но я разрешаю RDP только через vpn - то есть, если вы попытаетесь войти через общедоступный IP-адрес, он выдаст ошибку. Он использует брандмауэр Windows по умолчанию.
Поэтому меня беспокоит, что кто-то мог получить доступ к моему серверу. Самое смешное, что имена пользователей и IP-адреса продолжают меняться, так что это доказывает, что кто-то пытается взломать мой Сервер.
Как я могу заблокировать такую аутентификацию? Как я могу отследить метод входа в систему, который этот Ip использовал для аутентификации? Вот мой журнал событий:
Если ваш сервер указывает этот сетевой адрес в качестве источника, значит, они нашли способ обойти правила вашего брандмауэра. Если есть порт, открытый из Интернета, неудачные попытки аутентификации - это то, что вы будете видеть в течение всего дня. Я бы начал с попытки проверить журналы на брандмауэре, чтобы отслеживать входящие соединения. Просто просмотрите правила вашего брандмауэра, чтобы убедиться, что у вас случайно не открыт другой порт.