Server 2008 adit 日誌顯示 1000 次“Admin”帳戶的失敗登錄嘗試

我剛剛瀏覽了我的一台伺服器的日誌，我注意到有大量的 usernameAdministrator和. 我假設這些是機器人，因為幾乎每秒都有一個，但我的問題是你通常會怎麼做？owner``Admin

我是伺服器安全的新手，但從我所閱讀的內容來看，大多數人似乎並不太關心這類事情。

當您嘗試遠端桌面進入 Windows 系統時，您不是只有幾次嘗試就被鎖定了一段時間嗎？我每隔約 1.3 秒從同一 IP 地址進行 63 分鐘的登錄嘗試或失敗的登錄嘗試69.41.252.68。

預設情況下不啟用帳戶鎖定策略設置。您需要手動啟用它們。如果這是一個獨立伺服器（聽起來像是），您可以通過在管理工具中編輯本地安全策略來啟用帳戶鎖定策略設置。如果此伺服器已加入域，您可以通過在管理工具中編輯本地安全策略或使用域中的組策略來啟用帳戶鎖定策略設置。

聽起來這些事件是由傳入的 RDP 連接嘗試生成的（儘管您沒有指定）。您可以採取多種方法來處理此問題：

A. 在您的網路路由器或防火牆上阻止有問題的 IP 地址。

B. 通過將 RDP-in 規則的範圍設置為僅允許來自定義的一組 IP 地址或網路的連接，在 Windows 防火牆中阻止有問題的 IP 地址。

引用自：https://serverfault.com/questions/416817