Ip

有什麼方法可以查看嘗試 RDP 入侵的密碼嗎?

  • November 16, 2017

我在中國有一個愚蠢的人(根據 IP-Reversal 網站),他試圖使用 RDP 登錄我的機器。當我發現與此類似的消息流時,我首先註意到了這一點:

[LAN access from remote] from 117.66.240.198:65086 to 192.168.1.20:3389 Thursday, November 16,2017 10:20:17
[LAN access from remote] from 117.66.240.198:56522 to 192.168.1.20:3389 Thursday, November 16,2017 10:19:00

無論如何,我並不擔心,因為他每分鐘都在嘗試登錄管理員帳戶。我已將其禁用並按原樣鎖定。

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  ADMINISTRATOR
Source Workstation: 
Error Code: 0xC000006A

我知道我可以將 RDP 的埠更改為 3389 以外的埠,但我需要堅持使用此埠,因為我的辦公室只允許 RDP 使用預設埠。

我也知道我可以設置一個 VPN,但對於我的情況來說,這可能有點過頭了。

我將 Windows 防火牆更改為僅允許來自一系列 IP 的 RDP 連接,但由於我的辦公室使用不同的 ISP,並且任何時候的 IP 都可能與下一次網路重啟後的 IP 不同,因此我不得不將其恢復。

我希望看到他試圖用來強行進入的密碼。

無論如何,我(使用預設的 Windows 策略)是否可以在一段時間內限制/禁止發送無效憑據的 IP?

另外,由於我有一個動態 IP,我做的第一件事就是重新啟動路由器並獲得一個新 IP,但顯然這個習慣太強了,因為另一個愚蠢的傢伙開始嘗試他的運氣並沒有超過一天的時間一系列新的 IP 並在其中獲取我的 IP。

執行您要求的操作不是一個好習慣,因為它還會記錄任何合法嘗試,即實際密碼。即使只記錄失敗也會記錄任何輸入錯誤的密碼。

相反,您可以在一定數量的失敗嘗試後自動阻止 IP 地址。看到這個問題:fail2ban 做 Windows 嗎?

引用自:https://serverfault.com/questions/883726