我已经build立了一个只有一个Windows Server 2012 R2的本地域的家庭办公室,我已经允许从路由器的端口3389到我的服务器。
虽然知道这是危险的,但我设置了这种方式,以执行我已经告诉的几个审计testing。
我安装了ZoneAlarm免费版本,因此Windows防火墙被禁用。
在允许3389端口大约一个月后,我注意到事件查看器上的这个事件日志:
“事件ID 1158:”远程桌面服务接受来自IP地址xxx.xxx.xxx.xxx的连接“
由于这些IP来自多个国家,我不知道这个事件日志是否意味着这些IP实际上侵入了我的系统,或者如果这个事件日志只是提醒一个传入的连接,它可以被接受或拒绝,这取决于login成功或相应的失败。
请原谅,如果这个问题可以很容易地回答,但我找不到任何相关的答案,除了一个开放RDP默认端口的风险。
不,这个事件本身并不一定意味着未经授权的人login到您的服务器。 这些事件只是表明TCP连接已经build立 – 并不意味着他们input了有效的证书。
当你将任何服务暴露给互联网时,你会看到大量的随机尝试连接。 每天全天。 就个人而言,我并不认为将RDP暴露给互联网是危险的,只要遵循一些规则:
在过去的几年中,已经有一些涉及RDP的安全公告,但是每次都使用NLA来减轻攻击。 所以永远不要关掉它。
知道某人成功login到服务器或未成功尝试login到服务器的最终权限是旧的,可信的安全日志。
毫无疑问,你会发现许多审计失败types的事件在那里对应于随机的人在你的服务器上,只是试图猜测你的密码。
任何时候有人login成功,一个“审计成功”types的事件将被logging在安全事件日志,事件ID 4624,它会说“一个帐户已成功login”。 由于您知道他们将不得不通过RDP进入,因为这是防火墙中唯一的端口,所以logintypes将为2(交互式) 。10“远程交互”
另一个可能更容易筛选的事件日志是“TerminalServices-RemoteConnectionManager”日志。 用户login事件也logging在那里。 查找事件ID 1149说
Remote Desktop Services: User authentication succeeded: User: Administrator Domain: COMPUTER Source Network Address: 8.8.8.8 现在,如果你看到这样的事件,你不能解释,那么你可以开始担心。 🙂