我们的一台服务器（运行 RdpGuard）显示来自特定用户机器的多次失败尝试（准确地说是 3 次），我无法弄清楚是什么原因造成的。一名用户是本地用户，两名是远程用户，使用 VPN。

今天的尝试有一个模式。

三个IP分别为192.168.1.11、192.168.1.45、192.168.1.85

模式如下：

Failed attempt from: 192.168.1.48 (remote vpn)
Failed attempt from: 192.168.1.48 (remote vpn)
Failed attempt from: 192.168.1.11 (remote vpn)
Failed attempt from: 192.168.1.11 (remote vpn)
Failed attempt from: 192.168.1.85 (local)
Failed attempt from: 192.168.1.11 (remote vpn)

今天，这些尝试按特定顺序每 4-5 分钟发生一次。

我运行了多次恶意软件/rootkit/病毒扫描，但没有返回任何结果。

更新 1：

RDP 尝试现在来自本地 LAN 内的随机机器。服务器和工作站受到影响。

更新 2：

因此，经过更多阅读后，我能够找到有关 netlogon.txt 文件（在主 DC 上）的信息。从那里我能够确定所有这些 RDP 尝试的来源和目的地。我在源机器上运行 procmon 并将来自 netlogon 文件（在 PDC 上）的事件与目标机器上的相关事件相匹配。我使用了记录在目标机器上的事件查看器（安全）中的源端口，并使用该端口号匹配过滤的 procmon。这给了我罪魁祸首的进程/PID，它是“高级监控代理”/RMM 使用的网络管理服务，它是 solarwinds 的 MSP 软件（我在任务管理器中查找了 PID）。

因此，出于某种原因，MSP 代理尝试使用来宾帐户进行 RDP。我已经从所有本地用户的机器和服务器上卸载了它。我把它留在了远程站点的用户机器上，因为他们没有尝试（因为我相信他们在不同的子网中）。我还从域中删除了 VPN 用户，他们现在使用 2xRDP 访问内部文件。