私は自分のコンピューターで許可されていないRDP接続を疑っていたため、RDPサービスを無効にして、誰もコンピューターにアクセスできないようにしました。
この後、私はでログを確認Microsoft\TerminalServices-LocalSessionManager\Operational
してMicrosoft\TerminalServices-RemoteConnectionManager\Operational
。
ではMicrosoft\TerminalServices-LocalSessionManager\Operational
、RDPが無効になっていても、RDPは私の個人アカウントへの接続を正常に受信していました。実際、常に自分のアカウントへの接続が成功していましたが、これからログアウトしたことは一度もありません。例:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-TerminalServices-LocalSessionManager" Guid="{XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}" />
<EventID>21</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x1000000000000000</Keywords>
<TimeCreated SystemTime="2014-02-03T14:38:48.587069400Z" />
<EventRecordID>3186</EventRecordID>
<Correlation />
<Execution ProcessID="644" ThreadID="980" />
<Channel>Microsoft-Windows-TerminalServices-LocalSessionManager/Operational</Channel>
<Computer>MyComputer</Computer>
<Security UserID="XXXXXXXX" />
</System>
- <UserData>
- <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS">
<User>MyComputer\MyUser</User>
<SessionID>1</SessionID>
<Address>LOCAL</Address>
</EventXML>
</UserData>
</Event>
それでも、RDPは無効になっており、私はいつでもログアウトしていません。
でMicrosoft\TerminalServices-RemoteConnectionManager\Operational
、私が見た多くのユーザーは、次のような、認証されたadministrator
無効になっているアカウント、およびアカウントが名前のjohn
(と私のコンピュータに登録された、このようなユーザーはありません)。例:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-TerminalServices-RemoteConnectionManager" Guid="{XXXXXXXXXXXXXXXXXXXXXXXX}" />
<EventID>1149</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x1000000000000000</Keywords>
<TimeCreated SystemTime="2014-02-02T22:29:49.155951400Z" />
<EventRecordID>55095</EventRecordID>
<Correlation />
<Execution ProcessID="456" ThreadID="5220" />
<Channel>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</Channel>
<Computer>MyComputer</Computer>
<Security UserID="XXXXXX" />
</System>
- <UserData>
- <EventXML xmlns:auto-ns2="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS">
<Param1>administrator</Param1>
<Param2 />
<Param3>aaa.bbb.ccc.ddd</Param3>
</EventXML>
</UserData>
</Event>
administrator
無効になっているにもかかわらず、このレコードは成功として記録されました。
これはどれくらい悪いですか??