Я создал домашний офис с локальным доменом только с одним Windows Server 2012 R2 и разрешил порт 3389 от маршрутизатора к моему серверу.
Зная, что это опасно, я настроил его таким образом, чтобы выполнить несколько контрольных тестов, которые мне сказали.
У меня установлена бесплатная версия ZoneAlarm, поэтому брандмауэр Windows отключен.
После разрешения порта 3389 примерно на месяц я заметил этот журнал событий в средстве просмотра событий:
«Событие с кодом 1158:« Службы удаленных рабочих столов приняли соединение с IP-адреса xxx.xxx.xxx.xxx »
Поскольку эти IP-адреса происходят из нескольких стран, мне интересно, означает ли этот журнал событий, что эти IP-адреса действительно проникли в мою систему, или этот журнал событий просто предупреждает о входящем соединении, что оно может быть либо принято, либо отклонено в зависимости от успеха или неудачи входа в систему соответственно.
Прошу извинить меня, если на этот вопрос можно было легко ответить, но я не смог найти подходящего ответа, кроме рисков, связанных с открытием RDP с портом по умолчанию.
Нет, само по себе это событие не обязательно означает, что неавторизованный пользователь вошел на ваш сервер. Эти события просто указывают на то, что TCP-соединение было установлено - это не значит, что они ввели действительные учетные данные.
Когда вы открываете любую услугу в Интернете, вы увидите множество случайных попыток подключения. Весь день ежедневно. Лично я не думаю, что раскрытие RDP в Интернете настолько опасно, если вы соблюдаете несколько правил:
За последние несколько лет было выпущено несколько бюллетеней по безопасности, связанных с RDP, но каждый раз использование NLA смягчало уязвимость. Так что никогда, никогда не выключайте его.
Самый надежный источник информации о том, когда кто-то успешно вошел на ваш сервер или безуспешно пытался войти на ваш сервер, - это старый надежный журнал безопасности.
Вы, несомненно, увидите много событий типа Audit Failure, которые соответствуют случайным людям, которые стучат по вашему серверу, просто пытаясь угадать ваш пароль.
Каждый раз, когда кто-то успешно входит в систему, событие типа «Успешный аудит» будет записано в журнале событий безопасности, идентификатор события 4624, и будет сказано: «Учетная запись была успешно зарегистрирована». Поскольку вы знаете, что им придется войти через RDP, поскольку это единственный порт, открытый в вашем брандмауэре, Тип входа будет 2 (интерактив.) 10 для «Remote Interactive»
Еще один журнал событий, который, вероятно, легче просмотреть, - это журнал «TerminalServices-RemoteConnectionManager». Там же записываются события входа пользователя в систему. Найдите событие с кодом 1149, в котором говорится
Remote Desktop Services: User authentication succeeded:
User: Administrator
Domain: COMPUTER
Source Network Address: 8.8.8.8
Теперь, если вы видите такое событие, которое не можете объяснить, вы можете начать волноваться. :)