Идентификатор события 1158: “Службы удаленного рабочего стола приняли соединение от IP-адреса xxx.xxx.xxx.xxx”
Я настроил домашний офис с локальным доменом со всего одним Windows Server 2012 R2, и у меня есть разрешенный порт 3389 с маршрутизатора на мой сервер.
При знании это опасно, я установил его тот путь для выполнения нескольких аудиторских тестов, которым мне сказали.
У меня есть ZoneAlarm свободный выпуск, установленный следовательно, Windows Firewall отключен.
После разрешения 3 389 портов приблизительно в течение месяца я заметил этот журнал событий на Event Viewer:
"Идентификатор события 1158: "Службы удаленного рабочего стола приняли соединение от IP-адреса xxx.xxx.xxx.xxx"
Как те IP, инициирующий из нескольких стран, я задаюсь вопросом, означает ли этот журнал событий, что те, которые дюйм/с на самом деле ворвался в мою систему или если этот журнал событий просто предупреждает для входящего соединения, что это могло или быть принято или отклонено в зависимости от успешности или неуспешности входа в систему соответственно.
Извините меня, если на этот вопрос можно было бы легко ответить, но я не мог бы найти соответствующий ответ кроме от рисков, что каждый берет открытие RDP с его портом по умолчанию.
Нет, это событие само по себе не обязательно означает, что неавторизованное лицо вошло в систему на вашем сервере. Эти события просто указывают на то, что было установлено TCP-соединение - это не значит, что они ввели действительные учетные данные.
Когда вы выставляете какой-либо сервис в интернет, вы увидите тонны случайных попыток соединения. Весь день, каждый день. Лично я не думаю, что выставлять RDP в интернет настолько опасно, если следовать нескольким правилам:
- Всегда быть в курсе исправлений безопасности.
- Всегда использовать очень надежный пароль.
- Переименовывать учетную запись администратора.
- Всегда иметь включенной проверку подлинности на сетевом уровне (NLA). Это настройка, которая говорит: "Разрешать соединения только с компьютеров, работающих на удаленном рабочем столе с проверкой подлинности на сетевом уровне (рекомендуется)"
За последние несколько лет было несколько бюллетеней безопасности, включающих RDP, но каждый раз использование NLA смягчало этот эксплойт. Поэтому никогда, никогда не выключайте его.
Конечной инстанцией для того, чтобы знать, когда кто-то успешно вошел на ваш сервер или безуспешно пытался войти на ваш сервер, является старый, надежный журнал безопасности.
Вы, несомненно, увидите там много событий типа Audit Failure, которые соответствуют случайным людям, стучащим по вашему серверу, просто пытающимся угадать ваш пароль.
Всякий раз, когда кто-то успешно входит в систему, событие типа "Audit Success" будет записываться в журнал событий безопасности, событие с ID 4624, и в нем будет написано "Успешно входил в учетную запись". Так как вы знаете, что они должны были войти через RDP, так как это единственный открытый порт в вашем брандмауэре, тип входа будет 2 (интерактивный.) 10 для "Remote Interactive"
Другой журнал событий, который, вероятно, проще просеять, это журнал "TerminalServices-RemoteConnectionManager". Там же записываются и события входа пользователя в систему. Ищите Event ID 1149, который говорит
Remote Desktop Services: User authentication succeeded:
User: Administrator
Domain: COMPUTER
Source Network Address: 8.8.8.8
Теперь, если вы видите такое событие, которое не можете объяснить, вы можете начать беспокоиться. :)
.