RDPは無効になっていますが、無効なアカウントで成功した接続を記録しています


1

私は自分のコンピューターで許可されていないRDP接続を疑っていたため、RDPサービスを無効にして、誰もコンピューターにアクセスできないようにしました。

この後、私はでログを確認Microsoft\TerminalServices-LocalSessionManager\OperationalしてMicrosoft\TerminalServices-RemoteConnectionManager\Operational

ではMicrosoft\TerminalServices-LocalSessionManager\Operational、RDPが無効になっていても、RDPは私の個人アカウントへの接続を正常に受信していました。実際、常に自分のアカウントへの接続が成功していましたが、これからログアウトしたことは一度もありません。例:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-TerminalServices-LocalSessionManager" Guid="{XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}" /> 
  <EventID>21</EventID> 
  <Version>0</Version> 
  <Level>4</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x1000000000000000</Keywords> 
  <TimeCreated SystemTime="2014-02-03T14:38:48.587069400Z" /> 
  <EventRecordID>3186</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="644" ThreadID="980" /> 
  <Channel>Microsoft-Windows-TerminalServices-LocalSessionManager/Operational</Channel> 
  <Computer>MyComputer</Computer> 
  <Security UserID="XXXXXXXX" /> 
  </System>
- <UserData>
- <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS">
  <User>MyComputer\MyUser</User> 
  <SessionID>1</SessionID> 
  <Address>LOCAL</Address> 
  </EventXML>
  </UserData>
  </Event>

それでも、RDPは無効になっており、私はいつでもログアウトしていません。

Microsoft\TerminalServices-RemoteConnectionManager\Operational、私が見た多くのユーザーは、次のような、認証されたadministrator無効になっているアカウント、およびアカウントが名前のjohn(と私のコンピュータに登録された、このようなユーザーはありません)。例:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-TerminalServices-RemoteConnectionManager" Guid="{XXXXXXXXXXXXXXXXXXXXXXXX}" /> 
  <EventID>1149</EventID> 
  <Version>0</Version> 
  <Level>4</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x1000000000000000</Keywords> 
  <TimeCreated SystemTime="2014-02-02T22:29:49.155951400Z" /> 
  <EventRecordID>55095</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="456" ThreadID="5220" /> 
  <Channel>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</Channel> 
  <Computer>MyComputer</Computer> 
  <Security UserID="XXXXXX" /> 
  </System>
- <UserData>
- <EventXML xmlns:auto-ns2="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS">
  <Param1>administrator</Param1> 
  <Param2 /> 
  <Param3>aaa.bbb.ccc.ddd</Param3> 
  </EventXML>
  </UserData>
  </Event>

administrator無効になっているにもかかわらず、このレコードは成功として記録されました。

これはどれくらい悪いですか??

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.