none
원격데스크톱 연결 접속시도 클라이언트 IP 확인 방법 문의 건. RRS feed

  • 질문

  • 안녕하세요.

    제PC에 외부로부터 무차별 원격데스크톱 연결(RDP?)이 계속적으로 시도되고 있습니다.

    1분에 약 4회 꼴로 계정을 바꿔가며 시도 하고 있습니다.

    관련하여 해당 IP를 차단하고자  "이벤트뷰어-Windows 로그-보안" 에서  이벤트ID "4625"번을 열어보면

    아래와 같이 클라이언트 IP가 공란으로 되어 있습니다.  IP기록이 남게 하려면 어떻게 해야 하는지 문의

    드립니다.(참고로 "원격데스크톱 연결" 기능은 제가 가끔 사용하기에 off 할 수는 없습니다.)

    ==================================================================

    계정을 로그온하지 못했습니다.

    주체:
     보안 ID:  NULL SID
     계정 이름:  -
     계정 도메인:  -
     로그온 ID:  0x0

    로그온 유형:   3

    로그온을 실패한 계정:
     보안 ID:  NULL SID
     계정 이름:  MINIBAN
     계정 도메인:  

    오류 정보:
     오류 이유:  알 수 없는 사용자 이름 또는 잘못된 암호를 사용했습니다.
     상태:   0xc000006d
     하위 상태:  0xc0000064

    프로세스 정보:
     호출자 프로세스 ID: 0x0
     호출자 프로세스 이름: -

    네트워크 정보:
     워크스테이션 이름: 
     원본 네트워크 주소: -
     원본 포트:  -

    인증 세부 정보:
     로그온 프로세스:  NtLmSsp
     인증 패키지: NTLM
     전송된 서비스: -
     패키지 이름(NTLM 전용): -
     키 길이:  0

    이 이벤트는 로그온 요청이 실패할 때 액세스하려고 했던 컴퓨터에 생성됩니다.

    주체 필드는 로그온을 요청한 로컬 시스템의 계정을 나타냅니다. 이것은 주로 서버 서비스와 같은 서비스 또는 Winlogon.exe나 Services.exe와 같은 로컬 프로세스입니다.

    로그온 유형 필드는 요청한 로그온의 유형을 나타냅니다. 가장 일반적인 유형은 2(대화식)와 3(네트워크)입니다.

    프로세스 정보 필드는 시스템에서 로그온을 요청한 계정과 프로세스를 나타냅니다.

    네트워크 정보 필드는 원격 로그온 요청이 시작된 위치를 나타냅니다. 워크스테이션 이름은 항상 사용할 수 있는 것은 아니며 어떤 경우에는 비워 둘 수도 있습니다.

    인증 정보 필드는 이 특정 로그온 요청에 대한 자세한 정보를 제공합니다.
      - 전송된 서비스는 이 로그온 요청과 관련된 중간 서비스를 나타냅니다.
      - 패키지 이름은 NTLM 프로토콜 간에 사용된 하위 프로토콜을 나타냅니다.
      - 키 길이는 생성된 세션 키의 길이를 나타냅니다. 이 값은 요청된 세션 키가 없으면 0이 됩니다.

    ===============================================================================

    2018년 6월 22일 금요일 오전 12:29

모든 응답