windows - 事件4625窗口安全审核无法登录。失败原因：未知用户名或密码错误

我有Windows server 2012 R2 azure虚拟实例，并且在其上打开的端口很少，即（80,443，RDC）。我在安全部分中观察了以下日志到Windows事件查看器。

事件4625：Microsoft Windows安全审核

-------日志说明开始
帐户无法登录。

主题：
    安全ID：NULL SID
    帐户名称： -
    帐户域名： -     登录ID：0x0

登录类型：3

登录失败的帐户：
    安全ID：NULL SID
    帐户名称：ALLISON
    帐户域：

失败信息：
失败原因：用户名未知或密码错误状态：0xC000006D
子状态：0xC0000064

流程信息：
来电进程ID：0x0
来电者名称： -

网络信息：
    工作站名称：
    来源网络地址： -
    源端口： -

详细认证信息：
    登录过程：NtLmSsp
    认证包：NTLM
    过境服务： -
    包名称（仅限NTLM）： -
    密钥长度：0

当登录请求失败时会生成此事件。它是在尝试访问的计算机上生成的。

“主题”字段指示本地系统上请求登录的帐户。这通常是服务，如服务器服务，或本地进程，如Winlogon.exe或Services.exe。

“登录类型”字段指示所请求的登录类型。最常见的类型是2（交互式）和3（网络）。

“进程信息”字段指示系统上的哪个帐户和进程请求登录。

“网络信息”字段指示远程登录请求的来源。工作站名称并非始终可用，在某些情况下可能会留空。

身份验证信息字段提供有关此特定登录请求的详细信息 - 过渡服务表明哪些中间服务参与了此登录请求 - 包名称表示在NTLM协议中使用了哪个子协议 - 密钥长度表示生成的会话密钥的长度。如果没有请求会话密钥，则该值为0。

-------日志描述结束

日志在事件查看器中持续生成（每秒3-4个请求），帐户名称总是如下所述更改。

我尝试了什么：
1.禁用天蓝门户甚至RDC的所有开放端口 2.禁用Windows Essentials服务 3.从Windows调度程序禁用警报评估任务。

但仍然在事件查看器中生成日志。这个窗户遭到攻击还是其他什么？以及如何防止这种情况？