由于Windows 2012 远程桌面服务开启了SSL安全层,安全日志无法记录登录失败的源IP和用户名。因此,安骑士的暴力破解拦截功能也无法获取对方用户名。但是您可以通过人工分析并获取登录失败的用户名。

前提条件

人工分析获取登录失败用户名的前提条件是:Windows 2012已经打开审核登录事件日志。您可以通过:
  • 控制面板 > 系统和安全 > 管理工具 > 事件查看器 中,查看日志功能是否启用并记录。

  • 控制面板 > 系统和安全 > 管理工具 中,开启审核登录事件、审核账户登录事件。

操作步骤

在安骑士控制台 入侵检测 > 异常登录 的记录中,对方用户名记录为N/A。参照以下步骤执行手动分析并获取登录失败的用户名。

  1. 登录云盾服务器安全(安骑士)管理控制台,并前往资产列表
  2. 找到目标服务器,单击其异常登录菜单下的告警数字,进入异常登录页面。
  3. 找到爆破登录告警记录,查看其登录时间(该记录的对方用户名N/A)。
  4. 登录Windows 2012服务器,打开 控制面板 > 系统和安全 > 管理工具 > 事件查看器 ,并查找 Windows日志 > 安全
  5. 查找安骑士提示爆破登录时刻的明细日志。根据关键字审核失败、任务类别登录定位到具体爆破登录事件。

  6. 常规页面中查看登录失败原因:未知用户名或密码错误。其中,账户名为登录失败的用户。