在中国有一个傻瓜(根据 IP-Reversal 网站)试图使用 RDP 登录我的机器。我第一次注意到这一点是因为我发现了一连串类似于这样的消息:
[LAN access from remote] from 117.66.240.198:65086 to 192.168.1.20:3389 Thursday, November 16,2017 10:20:17
[LAN access from remote] from 117.66.240.198:56522 to 192.168.1.20:3389 Thursday, November 16,2017 10:19:00
无论如何,我并不担心,因为他每隔一分钟左右就会尝试登录管理员帐户。我将其保持禁用状态并锁定。
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: ADMINISTRATOR
Source Workstation:
Error Code: 0xC000006A
我知道我可以将 RDP 的端口更改为 3389 以外的其他端口,但我需要坚持使用此端口,因为我的办公室只允许 RDP 使用默认端口。
我也知道我可以设置 VPN,但这对我而言可能有点小题大做。
我更改了 Windows 防火墙以仅允许来自一系列 IP 的 RDP 连接,但不得不恢复该设置,因为我的办公室使用不同的 ISP,并且任何时候的 IP 都可能与下次网络重启后的不同。
我希望看到他用来强行闯入的密码。
另外,我是否也可以使用默认的 Windows 策略来限制/禁止发送无效凭据的 IP 一段时间?
另外,由于我有一个动态 IP,我做的第一件事就是重新启动路由器并获取一个新的 IP,但显然这个习惯太强了,因为没过一天时间,另一个傻瓜就开始尝试使用新的 IP 范围并将我的 IP 包含在内。
答案1
按照您的要求操作并不是一个好的做法,因为它还会记录任何合法的尝试,即实际密码。即使只记录失败也会记录任何输入错误的密码。
相反,你可以在一定次数的失败尝试后自动阻止 IP 地址。请参阅此问题:fail2ban 可以用于 Windows 吗?