我在中国有一个很傻的人(根据IP-Reversal网站),他正尝试使用RDPlogin我的机器。 当我发现一条类似于这个消息的消息stream时,我首先注意到了这一点:
[LAN access from remote] from 117.66.240.198:65086 to 192.168.1.20:3389 Thursday, November 16,2017 10:20:17 [LAN access from remote] from 117.66.240.198:56522 to 192.168.1.20:3389 Thursday, November 16,2017 10:19:00 无论如何,我不关心,因为他正在尝试每分钟左右login到pipe理员帐户。 我已经将其禁用并locking了。
The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: ADMINISTRATOR Source Workstation: Error Code: 0xC000006A
我知道我可以将RDP的端口改为3389以外的东西,但是我需要坚持这个端口,因为我的办公室只允许RDP默认的端口。
我也知道,我可以设置一个VPN,但是这又可能是一个矫枉过正的案件。
我改变了Windows防火墙,只允许来自IP地址范围的RDP连接,但必须恢复,因为我的办公室使用不同的ISP,IP在任何时候都可能不同于下一次networking重启之后。
我希望看到他试图使用的密码来闯入他的方式。
反正我也有(使用默认的Windows策略)遏制/禁止一段时间发送无效凭证的IP?
另外,因为我有一个dynamic的IP,我做的第一件事是重启我的路由器,并得到一个新的IP,但显然这个习惯是太强了,因为另一个愚蠢的家伙不用花一天时间就开始尝试运气一个新的IP地址范围,并将其纳入其中。
做你所要求的事情不是一个好习惯,因为它也会logging任何合法的尝试,即实际的密码。 即使仅logging故障也会logging任何错误input的密码。
相反,经过一定的失败尝试后,您可以自动阻止IP地址。 看到这个问题: fail2ban做Windows吗?