当我查看我的一个 SQL 框上的终端服务管理器时,我注意到在我连接时似乎有很多次尝试远程访问该机器:
前一分钟...
后一分钟...
我在事件查看器中没有看到任何与此活动匹配的内容,并且它仍在继续。我可以在哪里查看这些内容来自哪里以及可能发生了什么?
答案1
如果有人未能通过身份验证,那么您应该在安全事件日志中找到相关信息。如果他们所做的只是建立连接但不传递凭据,那么这实际上不会在 Windows 的任何地方显示(据我所知)。
就像 @joeqwerty 所说的那样,如果这台机器可以从公共互联网访问,那么请检查防火墙日志以查看它们的内容。此外,请关闭来自公共互联网的连接,因为那只会自找麻烦。使用 VPN 然后通过 RDP 连接到 SQL Server 是一种更安全的选择。