假设拓扑结构如下:
主机 A 通过 RDP 远程连接到主机 B,两者之间有防火墙。防火墙的日志会被收集和监控。
当 Windows 安全弹出窗口提示用户输入密码并提交错误密码时,会发生什么?
当主机 A 上的用户看到 Windows 安全弹出窗口时,她是否已经与主机 B 建立了 RDP 会话,还是在提交正确的密码后建立了会话?或者,我真正的问题是 -action防火墙日志中会看到什么 -allowed或者denied?
我问这个问题是因为我注意到allowed7 分钟内发生了 40 个防火墙事件,这些事件的目的端口是3389,从同一源到同一目的地,但我不知道如何解释发生了什么。
答案1
防火墙记录流量。它根据规则配置允许流量。防火墙日志应显示“允许”,因为这是该特定流量的处置方式。您允许入站 RDP,因此防火墙将此流量记录为允许。
防火墙日志与身份验证失败无关,不会记录身份验证失败。它记录的是流量。