Добрый день!
Один клиент пожаловался, что в последнее время постоянно отваливаются сеансы рдп.
Подключился удаленно, смотрю журнал безопасности там кто-то интенсивно брутит. (Порт рдп не стандартный).
Подбирают различные логины и пароли. Но почему-то в журнале не видно ip адрес хакеров.

Учетной записи не удалось выполнить вход в систему.

Субъект:
    ИД безопасности:        NULL SID
    Имя учетной записи:        -
    Домен учетной записи:        -
    Код входа:        0x0

Тип входа:            3

Учетная запись, которой не удалось выполнить вход:
    ИД безопасности:        NULL SID
    Имя учетной записи:        SUPERUSER
    Домен учетной записи:        

Сведения об ошибке:
    Причина ошибки:        Неизвестное имя пользователя или неверный пароль.
    Состояние:            0xC000006D
    Подсостояние:        0xC0000064

Сведения о процессе:
    Идентификатор процесса вызывающей стороны:    0x0
    Имя процесса вызывающей стороны:    -

Сведения о сети:
    Имя рабочей станции:    -
    Сетевой адрес источника:    -
    Порт источника:        -

Сведения о проверке подлинности:
    Процесс входа:        NtLmSsp
    Пакет проверки подлинности:    NTLM
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.


Сетевой адрес источника пуст. Как можно посмотреть ip хакеров?

думаешь адрес тебе что-то даст?

(2) узнать локально кто-то подбирает или через инет. ну и заблокировать конечно.

На PowerShell попробуй:
$allRDPevents = Get-WinEvent -FilterHashtable @{Logname = "Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational" ; ID = 1149,1150,1148} -ErrorAction SilentlyContinue
$allRDPevents | %{ "{0:MM-dd HH:mm:ss}`t{1}`t{2}`t{3}" -f ($_.Timecreated), $_.Properties[2].Value, $_.Properties[0].Value, ($_.message -split '\n')[0]  }

закрой порт рдп с открытием через port knocking и забудь.

(0) Если хочешь посмотреть айпишник, то смотри в Журнале: Журналы приложения и служб - Microsoft - Windows - RemoteDesktopServices-RdpCoreTS

(3) на следующий день продолжат брутфорсить с другого адреса