イベントID 1158：「リモートデスクトップサービスはIPアドレスxxx.xxx.xxx.xxxからの接続を受け入れました」

いいえ、そのイベントだけでは、権限のない人物がサーバーにログインしたことを必ずしも意味しません。これらのイベントは、単にTCP接続が確立されたことを示しています。これは、有効な資格情報を入力したことを意味するものではありません。

サービスをインターネットに公開すると、ランダムに接続しようとする試みが大量に見られます。一日中、毎日。個人的には、RDPをインターネットに公開することは、いくつかのルールに従っている限り、それほど危険ではないと思います。

• セキュリティパッチを適用して、常に最新の状態にしてください。
• 常に非常に強力なパスワードを使用してください。
• 管理者アカウントの名前を変更します。
• 常にネットワークレベル認証（NLA）を有効にします。これは、「ネットワークレベル認証を使用してリモートデスクトップを実行しているコンピューターからの接続のみを許可する（推奨）」という設定です。

過去数年間、RDPに関連するセキュリティ情報がいくつかありましたが、NLAを使用するたびに、この悪用が軽減されました。したがって、決してオフにしないでください。

誰かがサーバーへのログオンに成功したか、サーバーへのログオンに失敗したかを知るための最終的な権限は、古い信頼できるセキュリティログです。

そこには、パスワードを推測しようとするだけでサーバーにぶつかるランダムな人に対応する多くの監査失敗タイプのイベントが表示されます。

誰かが正常にログオンすると、「監査成功」タイプのイベントがセキュリティイベントログのイベントID 4624に記録され、「アカウントは正常にログオンしました」と表示されます。ファイアウォールで開かれているポートはRDPだけなので、RDPを介してアクセスする必要があることがわかっているため、ログオンタイプは次のようになります。 2 (interactive.) 「Remote Interactive」の場合は10

おそらくより簡単にふるいにかけられる別のイベントログは、「TerminalServices-RemoteConnectionManager」ログです。ユーザーログオンイベントもそこで記録されます。言うイベントID 1149を探してください

Remote Desktop Services: User authentication succeeded:

User: Administrator
Domain: COMPUTER
Source Network Address: 8.8.8.8

このようなイベントを説明できない場合は、心配し始めることができます。 :)