Security

事件 ID 1158:“遠端桌面服務接受來自 IP 地址 xxx.xxx.xxx.xxx 的連接”

  • May 26, 2015

我已經建立了一個只有一個 Windows Server 2012 R2 的本地域的家庭辦公室,並且我允許從路由器到我的伺服器的埠 3389。

雖然知道這很危險,但我還是這樣設置它是為了執行我被告知要執行的幾個審計測試。

我安裝了 ZoneAlarm 免費版,因此禁用了 Windows 防火牆。

在允許 3389 埠大約一個月後,我在事件查看器上註意到了這個事件日誌:

“事件 ID 1158:“遠端桌面服務接受來自 IP 地址 xxx.xxx.xxx.xxx 的連接”

由於這些 IP 來自多個國家/地區,我想知道此事件日誌是否意味著這些 IP 確實闖入了我的系統,或者此事件日誌是否只是提醒傳入連接,根據登錄成功或失敗相應地可以接受或拒絕它。

如果這個問題可以很容易地回答,請原諒我,但我找不到任何相關的答案,除了使用預設埠打開 RDP 的風險。

不,該事件本身並不一定意味著未經授權的人登錄到您的伺服器。這些事件只是表明建立了 TCP 連接 - 這並不意味著他們輸入了有效的憑據。

當您向網際網路公開任何服務時,您會看到大量的隨機連接嘗試。每天全天。就個人而言,我認為將 RDP 暴露在網際網路上並沒有那麼危險,只要您遵循一些規則:

  • 始終保持最新的安全更新檔。
  • 始終使用非常強的密碼。
  • 重命名您的管理員帳戶。
  • 始終啟用網路級身份驗證 (NLA)。這是顯示“僅允許來自執行具有網路級別身份驗證的遠端桌面的電腦的連接(推薦)”的設置

在過去幾年中,有一些涉及 RDP 的安全公告,但每次都使用 NLA 減輕了漏洞利用。所以永遠不要關掉它。

知道某人何時成功登錄到您的伺服器或嘗試登錄到您的伺服器失敗的最終權威是舊的、可信賴的安全日誌。

毫無疑問,您將在那裡看到許多審核失敗類型的事件,這些事件對應於隨機人敲打您的伺服器,只是試圖猜測您的密碼。

每當有人成功登錄時,安全事件日誌中都會記錄一個“審核成功”類型的事件,事件 ID 為 4624,並且會顯示“一個帳戶已成功登錄”。由於您知道他們必須通過 RDP 進入,因為這是防火牆中唯一打開的埠,所以登錄類型將為2(互動式)。10 表示“遠端互動式”

另一個可能更容易篩選的事件日誌是“TerminalServices-RemoteConnectionManager”日誌。使用者登錄事件也記錄在那裡。查找顯示的事件 ID 1149

Remote Desktop Services: User authentication succeeded:

User: Administrator
Domain: COMPUTER
Source Network Address: 8.8.8.8

現在,如果您看到這樣的事件,您無法解釋,那麼您就可以開始擔心了。:)

引用自:https://serverfault.com/questions/694327