Будут ли неудачные попытки входа на сервер RDP представлены в журналах брандмауэра?
Предположим, топология ниже:
Узел A удаленно соединяется с RDP с узлом B, между ними есть межсетевой экран. Журналы брандмауэра собираются и отслеживаются.
Что произойдет, когда пользователю будет предложено всплывающее окно безопасности Windows для ввода пароля и введет неверный пароль?
В тот момент, когда пользователю на узле A предоставляется всплывающее окно безопасности Windows, она уже установила сеанс RDP с узлом B или сеанс установлен после отправки правильного пароля? Или мой актуальный вопрос - что action
будет видно в журналах брандмауэра - allowed
или же denied
?
Я спрашиваю это после того, как я заметил 40 allowed
события брандмауэра за 7 минут с портом назначения 3389
из того же источника в тот же пункт назначения, и я не знаю, как интерпретировать то, что произошло.
1 ответ
Брандмауэр регистрирует трафик. Это позволяет трафик на основе конфигурации правила. Журнал брандмауэра должен показывать "разрешено", потому что это распределение этого конкретного трафика. Вы разрешаете входящий RDP, поэтому брандмауэр регистрирует этот трафик как разрешенный.
Журнал брандмауэра не имеет ничего общего с ошибкой аутентификации и не регистрирует ошибку аутентификации. Это регистрирует трафик.