RDP отключен, но все еще регистрирует успешные подключения на отключенных учетных записях

Поскольку я с подозрением относился к несанкционированным RDP-соединениям на моем компьютере, я отключил службу RDP, чтобы никто больше не мог получить доступ к моему компьютеру.

После этого я проверил логи Microsoft\TerminalServices-LocalSessionManager\Operationalи Microsoft\TerminalServices-RemoteConnectionManager\Operational.

В Microsoft\TerminalServices-LocalSessionManager\Operational, RDP все еще получал успешные подключения к моей личной учетной записи, даже если RDP был отключен. На самом деле он всегда получал успешные подключения к моей учетной записи, но я никогда не сталкивался с этим. пример :

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microsoft-Windows-TerminalServices-LocalSessionManager" Guid="" />  <EventID>21</EventID>  <Version>0</Version>  <Level>4</Level>  <Task>0</Task>  <Opcode>0</Opcode>  <Keywords>0x1000000000000000</Keywords>  <TimeCreated SystemTime="2014-02-03T14:38:48.587069400Z" />  <EventRecordID>3186</EventRecordID>  <Correlation />  <Execution ProcessID="644" ThreadID="980" />  <Channel>Microsoft-Windows-TerminalServices-LocalSessionManager/Operational</Channel>  <Computer>MyComputer</Computer>  <Security UserID="XXXXXXXX" />  </System> - <UserData> - <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS"> <User>MyComputer\MyUser</User>  <SessionID>1</SessionID>  <Address>LOCAL</Address>  </EventXML> </UserData> </Event> 

И все же RDP отключен, и я не вышел из системы в любой момент.

В Microsoft\TerminalServices-RemoteConnectionManager\Operationalя видел многие пользователи проверки подлинности, например, administratorсчет, который является инвалидом, и учетная запись с именем john(и нет никаких таких пользователей, зарегистрированных на моем компьютере). пример :

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microsoft-Windows-TerminalServices-RemoteConnectionManager" Guid="" />  <EventID>1149</EventID>  <Version>0</Version>  <Level>4</Level>  <Task>0</Task>  <Opcode>0</Opcode>  <Keywords>0x1000000000000000</Keywords>  <TimeCreated SystemTime="2014-02-02T22:29:49.155951400Z" />  <EventRecordID>55095</EventRecordID>  <Correlation />  <Execution ProcessID="456" ThreadID="5220" />  <Channel>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</Channel>  <Computer>MyComputer</Computer>  <Security UserID="XXXXXX" />  </System> - <UserData> - <EventXML xmlns:auto-ns2="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS"> <Param1>administrator</Param1>  <Param2 />  <Param3>aaa.bbb.ccc.ddd</Param3>  </EventXML> </UserData> </Event> 

Эта запись была зарегистрирована как успешная, даже если administratorона отключена.

Насколько это плохо? ?