在命令行上，通过运行 powershell.exe 启动 PowerShell。

在 PowerShell 中，执行此命令：

remove-module psreadline
Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=(Get-Date).AddDays(-1); Id='4625'}
也可使用 远程 PowerShell 执行 Get-WinEvent 命令。
如果最近有许多日志条目指示登录尝试失败，则 VM 可能遇到暴力攻击，需要对其进行保护。 此活动可能会消耗 RDP 服务资源，导致无法通过 RDP 成功连接。
在此方案中，RDP TCP 端口 3389 向 Internet 公开，请使用下面列出的一个或多个方法来提高 VM 的安全性：
使用 实时访问 来保护 VM 的面向公众的端口。
使用 Azure Bastion 通过Azure 门户进行安全连接，并在网络安全组中 (NSG) 中阻止来自 Internet 的 RDP 流量。
使用VPN 网关在计算机和 VM 之间提供加密隧道，并在网络安全组中阻止来自 Internet 的 RDP 流量， (NSG) 。
编辑网络安全组 (NSG) ，使其更加严格。 在 RDP 入站规则中，仅允许特定 Internet 协议 (IP) 或属于组织的 IP 范围：
对于入站 RDP (TCP 端口 3389) 规则，如果源设置为“任何”或“*”，则认为该规则处于打开状态。 若要提高规则的安全性， 请将 RDP 端口限制为特定用户的 IP 地址，然后再次测试 RDP 访问。
使用 运行命令 将默认 RDP 端口从 3389 更改为不太常见的端口号。 建议不要将此作为长期修复，但可能有助于暂时缓解攻击并重新获得对 VM 的访问权限，我们建议使用实时访问、Azure Bastion 或 VPN 网关。