系统经过设置以后，利用某些RDP爆破的软件，会被WINDOWS自动识别到异常数据流，然后自动断开连接。所以没多少风险，但是在系统的日志中，总是出现大量的类似这样的错误日志记录：终端服务器安全层在协议流中检测到错误，并已取消客户端连接。 客户端 IP: 183.64.78.130。因此有必须进一步提高安全策略，让这些扫描的人彻底不能连接RDP的端口。以前给大家介绍过了一个WINDOWS下自动拦截扫描密码的软件，就是IPBAN，类似LINUX下的FAIL2BAN功能，可以自由设置拦截才时间查找区间，次数，还可以设置白名单IP等等，是一个非常不错的软件，占用系统资源非常非常的少。建议所有使用WINDOWS系统的人，都可以安装一下。

经过反复的测试，加入下面的代码，重启IPBAN即可拦截这个多次连接RDP出现错误的IP地址：

      <Group>
        <Keywords>0x80000000000000</Keywords>
        <Path>System</Path>
        <Expressions>
          <Expression>
            <XPath>//Data</XPath>
            <Regex>\\Device\\Termdd</Regex>
          </Expression>
          <Expression>
            <XPath>//Data</XPath>
            <Regex>
              <![CDATA[
                (?<ipaddress>.+)
              ]]>
            </Regex>
          </Expression>
        </Expressions>
      </Group>