リモートデスクトップハッキングが成功したかどうかを確認するにはどうすればよいですか?
速度テスト中のアップリンク帯域幅が減少しているように見えるので、リソースモニターを使用してネットワークアクティビティの調査を開始しました。 svchost.exeが〜2kB /秒(〜16kb/s)を209.7.101.10に送信していることを発見しました。
プロセスエクスプローラーを使用して、ローカルでログインしているときに、このsvchost.exe PIDがRDPセッションに関連付けられていることを発見しました。リモートデスクトップアクセスを無効にしたところ、帯域幅を使用するプロセスがすぐに停止しました。もちろん、私のRDPポートは設計上、世界中に公開されているので、自宅から離れてアクセスできます。
私のPCにリモートからアクセスしようとする不正な試みがあったことは明らかです。 RDPログイン試行が成功したかどうかをどのように判断できますか?
TerminalServices-RemoteConnectionManagerの操作ログをチェックしたところ、「forms」、「cecilia」、「voicemail」、「diane」などの一般的なユーザー名が散らばっているように見えます。これらのアカウントは存在しません私のマシン。エントリの例を次に示します。
Remote Desktop Services: User authentication succeeded:
User: diane
Domain:
Source Network Address: 209.7.101.10
緩和策
その間、リモートデスクトップアクセスを無効にしました。それを復元することを選択した場合、少なくとも デフォルトのポート番号を変更 になる可能性があります。誰もがそれがポートスキャンを介して敗北するのがいかに簡単かを知っていますか?より安全な方法はSSHトンネリングを設定することですが、Microsoft Android RDPクライアントアプリはこれをサポートしていません。
Windowsの非サーバーエディションでは、一度に1人のユーザーしかログインできません。そのため、RDP経由でのログインが成功すると、あなたは追い出され、おそらく気づくでしょう。
ログオンの種類を確認することにより、セキュリティイベントログで成功したRDPログインを見つけることもできます。これにはXPathフィルターを使用できます。
表示されている帯域幅の使用状況は、おそらくログイン画面を提供するRDPです。接続を確立する前に資格情報を検証するネットワークレベル認証を要求するように設定を変更できます(ログイン画面なし)。