由于Windows 2012 遠(yuǎn)程桌面服務(wù)開啟了SSL安全層，安全日志無(wú)法記錄登錄失敗的源IP和用戶名。因此，安騎士的暴力破解攔截功能也無(wú)法獲取對(duì)方用戶名。但是，您可以手動(dòng)分析，獲取登錄失敗的用戶名。

?前提條件

手動(dòng)分析獲取登錄失敗用戶名的前提條件是：Windows 2012已經(jīng)打開審核登錄事件日志。您可以：

• 在 控制面板 > 系統(tǒng)和安全 > 管理工具 > 事件查看器 中，查看日志功能是否啟用并記錄。

  

• 在 控制面板 > 系統(tǒng)和安全 > 管理工具 中，開啟審核登錄事件，審核賬戶登錄事件。

  

?操作步驟

在安騎士 入侵檢測(cè) > 異常登錄 的記錄中，對(duì)方用戶名 記錄為 N/A。參照以下步驟手動(dòng)分析，獲取登錄失敗的用戶名。

1. 登錄到安騎士控制臺(tái)，并前往 資產(chǎn)列表。

2. 找到目標(biāo)服務(wù)器，單擊其 異常登錄 菜單下的告警數(shù)字，進(jìn)入 異常登錄 頁(yè)面。

3. 找到 爆破登錄 告警記錄，查看其 登錄時(shí)間（該記錄的 對(duì)方用戶名 為 N/A）。

4. 登錄Windows 2012服務(wù)器，打開 控制面板 > 系統(tǒng)和安全 > 管理工具 > 事件查看器，并查找 Windows日志 > 安全。

5. 查找安騎士提示爆破登錄時(shí)刻的明細(xì)日志。搜索關(guān)鍵字為 審核失敗，任務(wù)類別為 登錄。

   

6. 在常規(guī)選項(xiàng)中查看失敗原因：未知用戶名或密碼錯(cuò)誤。其中，用戶名選項(xiàng)為登錄失敗的用戶。