Tengo un servidor por el que acceden multiples usuarios por Escritorio remoto
De vez en cuando recibo estos logs
Event id: 4776
PackageName MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
TargetUserName Administrator
Workstation XXXXXXX
Status 0xc000006a
Segun creo son ataques por fuerza bruta, la maquina XXXXX no esta en nuestro sistema.
Mi pregunta es ¿como puedo evitarlos? ¿como puedo habilitar el log de evento 4625? ¿puedo conocer la ip de la maquina XXXXx?
Muchas gracias
Mi configuracion del host de sesion de escritorio remoto es:
Nivel de Seguridad: Negotiate
Nivel de Cifrado: Cliente compatible
Permitir conexiones solo de equipos que ejecuten Escritorio remoto con Autenticacion a nivel de red
