答案1
我可以通过在本地安全策略下启用 NTLM 审核来解决此问题。(本地安全策略\本地策略\安全选项\限制 NTLM 审核)
看来攻击者正试图通过暴力破解 RDP 身份验证来获取访问权限。NTLM 向我提供了具有开放 RDP 访问权限的计算机的名称,我能够通过锁定它来解决问题。
答案2
运行 netmon 数据包捕获并将事件日志条目与捕获中的连接尝试关联起来。
我可以通过在本地安全策略下启用 NTLM 审核来解决此问题。(本地安全策略\本地策略\安全选项\限制 NTLM 审核)
看来攻击者正试图通过暴力破解 RDP 身份验证来获取访问权限。NTLM 向我提供了具有开放 RDP 访问权限的计算机的名称,我能够通过锁定它来解决问题。
运行 netmon 数据包捕获并将事件日志条目与捕获中的连接尝试关联起来。