有人试图使用我的用户名远程访问我的网络。我的账户一直被锁定。我从事件属性中获得了计算机名称,但没有 IP 地址。我发现的所有内容都需要一个我没有的 IP 地址。
答案1
这个问题很难,因为确实没有足够的信息,但我会尝试一下。
如果连接来自公共互联网(在服务器上直接或甚至通过 NAT 连接到 RDP 是一个非常糟糕的主意),您将需要计算机名称和域名来潜在地定位 IP 地址。如果您没有看到域名,您将不知道谁在连接。您的防火墙或路由器可能有传入 IP 地址的日志。
我不知道的事情:家庭或企业。
管理员或用户帐户。路由器后面的 NAT、直接连接或通过 VPN。
假设互联网连接并且您拥有一些带有网络地址转换(NAT)的消费级路由器,因此您的服务器不在公共互联网上,并且被锁定的帐户是管理员。
我的建议:
- 查看防火墙日志。如果防火墙日志无法显示连接信息,我建议丢弃防火墙/路由器并更换它。
- 考虑使用真正的防火墙。即使是像 IPCop 这样的免费防火墙。
- 禁用 NAT 并使用 VPN 客户端远程访问网络。
- 如果您必须使用 NAT,请更改公共端使用的端口。
- 切勿使用管理员帐户。请创建另一个名称不同的帐户并禁用管理员帐户。
- 在您的服务器上安装 Wireshark,查看哪些流量从哪里进入您的服务器(但如果不在同一网络上,流量将来自路由器)。您可以根据协议进行过滤。