Logging

是否會在防火牆日誌中顯示對 RDP 伺服器的不成功登錄嘗試?

  • May 22, 2018

假設如下拓撲: 在此處輸入圖像描述

主機 A 通過 RDP 遠端連接到主機 B,它們之間有防火牆。收集和監控防火牆的日誌。

當彈出 Windows 安全性提示使用者輸入密碼並送出不正確的密碼時,會發生什麼情況?

在此處輸入圖像描述

當主機 A 的使用者看到 Windows 安全彈出視窗時,她是否已經與主機 B 建立了 RDP 會話,還是在送出正確密碼後建立了會話?或者,我的實際問題是 -action防火牆日誌中會看到什麼 -alloweddenied

在我注意到 40 個allowed防火牆事件在 7 分鐘內使用目標埠3389從同一個源到同一個目標後,我問這個問題,我不知道如何解釋發生的事情。

防火牆記錄流量。它允許基於規則配置的流量。防火牆日誌應顯示“允許”,因為這是該特定流量的處置。您允許入站 RDP,因此防火牆會將此流量記錄為允許的。

防火牆日誌與認證失敗無關,不會記錄認證失敗。它記錄流量。

引用自:https://serverfault.com/questions/913255