ref によると、Windowsイベントのログオンタイプ10と3は、
ログオンタイプ10 = RemoteInteractive Logon&
ログオンタイプ3 =ネットワークログオン
しかし、「リモートデスクトップ接続」を介してWindowsマシンを間違ったユーザー名とパスワードで接続しようとすると、リモートマシンが10ではなく3のログオンタイプでイベントを生成しました。多くのマシンで確認しました。しかし、これはまだ起こっています。
なぜこれが起こっているのか説明してもらえますか?
別の詳細を記録: すべての詳細をイベント
スクリーンショット
このログオンタイプ3は、認証タイプとしてNLA(ネットワーク層認証)を使用している場合に得られます。これは、RDPアクセスを許可する前に、事前認証を試行するためです。
これをテストするには、セキュリティレイヤーをRDP Security Layer
に変更します。手順とその方法に関する詳細情報は、次の場所にあります。 サーバー認証と暗号化レベルの構成 -次に、無効なユーザー名/パスワードの組み合わせを入力すると、ログオンタイプ10として記録されるはずです。