免责声明: 本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。

 

概述

由于Windows系统的远程桌面服务(RDP)开启了SSL安全层,安全日志无法记录登录失败的源IP和用户名。因此,云安全中心的异常登录拦截功能也无法获取登录失败的用户名。但是您可以参考本文,通过查看Windows安全日志的方式获取登录失败的用户名。

 

详细信息

阿里云提醒您:

  • 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
  • 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
  • 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。

前提条件

在查看Windows安全日志前,确保Windows实例已经开启安全日志和本地安全的审核策略,详情如下。

  • 开启安全日志。
    1. 登录Windows实例。
    2. 依次进入 控制面板 > 系统和安全管理工具事件查看器,定位到 Windows 日志安全,单击右键并选择 属性,查看日志功能是否启用并记录。如果未启用,您需要先启用该日志记录功能。
  • 开启本地安全的审核策略。
    1. 登录Windows实例。
    2. 依次进入 控制面板 > 系统和安全 > 管理工具 > 本地安全策略,定位到 本地策略 > 审核策略,开启 审核登录事件审核帐户登录事件

 

操作步骤

参照如下步骤,查看Windows安全日志中登录失败的用户名。

  1. 登录云安全中心的管理控制台
  2. 在左侧导航栏单击 威胁检测 > 安全告警处理
  3. 全部告警类型 中筛选为 异常登录,找到ECS被暴力破解登录的告警记录,查看并记录其发生时间
  4. 登录被暴力破解的Windows实例,打开 控制面板 > 系统和安全 > 管理工具 > 事件查看器
  5. 依次进入 Windows 日志 > 安全,根据云安全中心提示的暴力破解时间,查找安全日志记录。同时还可以根据关键字“审核失败”、任务类别“登录”定位到具体的暴力破解登录事件。
    定位暴力破解登录事件
  6. 打开具体的暴力破解登录事件,在 常规 页面中查看登录失败的详情,其中 帐户名 即为登录失败的用户名。
    常规页面

 

适用于

  • 云服务器 ECS
  • 云安全中心