在 Windows Server 2003 中,当登录类型为 10(远程登录)发生事件 529(登录失败)时,源网络 IP 地址将记录在事件日志中。
在 Windows XP 机器上,这一点(以及一些其他细节)被省略。
如果机器人试图通过 RDP 进行暴力破解(我的一些 XP 机器是(并且需要)使用公共 IP 地址公开的),我看不到原始 IP 地址,所以我不知道要阻止什么(我每隔几分钟运行一次脚本)。
当尝试登录客户端 xp 计算机时,DC 也不会记录此详细信息,并且仅要求 DC 验证凭据。
任何能帮助在日志中获取此详细信息的帮助都将不胜感激。
答案1
端口报告器解析器 (PR-Parser) 工具的说明 http://support.microsoft.com/default.aspx?scid=kb;en-us;884289