確定windows伺服器攻擊？我應該整天監控伺服器並阻止IP嗎？

在查看windows server 2008事件日誌時，總是發現很多安全事件4625/logon如下：

**An account failed to log on.**

Subject:
   Security ID:        SYSTEM
   Account Name:       Sever-Name
   Account Domain:     WORKGROUP
   Logon ID:       0x3e7

Logon Type:         10

Account For Which Logon Failed:
   Security ID:        NULL SID
   Account Name:       admin (or administrator or user or any)
   Account Domain:     Sever-Name

Failure Information:
   Failure Reason:     Unknown user name or bad password.
   Status:         0xc000006d
   Sub Status:     0xc000006a

Process Information:
   Caller Process ID:  0x1b18
   Caller Process Name:    C:\Windows\System32\winlogon.exe

Network Information:
   Workstation Name:   Sever-Name
   Source Network Address: Some-Remote-IP
   Source Port:        Port#No (many ports in a row)

Detailed Authentication Information:
   Logon Process:      User32 
   Authentication Package: Negotiate

以上嘗試來自使用所有可能的使用者名和埠的單個 IP。

我的問題是：

1. 這些是正常攻擊嗎？
2. 我應該有多擔心？我應該監視和阻止每個 IP 還是僅在發生巨大攻擊時？
3. 通過選擇阻止**“所有程序”**來阻止IP通過Windows防火牆是否意味著該IP甚至無法使用Web和電子郵件服務？
4. 如果#3 的答案是肯定的，有沒有辦法只阻止機器/RDP 訪問？夠了嗎？

這是你需要做的：

1. 設置 VPN 以安全地遠端訪問您的伺服器。
2. 將伺服器置於防火牆（硬體或軟體）之後，並且不允許從任何地方進行遠端登錄。如果要遠端連接，則必須連接到 VPN。
3. 吃個三明治，享受這些基本的安全預防措施後，您的生活會變得多麼美好。

---

完成之後，您需要獲得一本關於 Windows 管理（或一般管理）的書，並閱讀有關防火牆規則的資訊。然後適當地配置你的。只有您知道誰需要從哪裡訪問哪些服務。花一些時間查看所有正在執行的服務，確定哪些服務需要公開（如 Web），哪些不需要（如 RDP），並相應地配置您的防火牆。

引用自：https://serverfault.com/questions/500923