RDP отключен, но все еще регистрирует успешные подключения на отключенных учетных записях
Поскольку я с подозрением относился к несанкционированным RDP-соединениям на моем компьютере, я отключил службу RDP, чтобы никто больше не мог получить доступ к моему компьютеру.
После этого я проверил логи Microsoft\TerminalServices-LocalSessionManager\Operational
и Microsoft\TerminalServices-RemoteConnectionManager\Operational
.
В Microsoft\TerminalServices-LocalSessionManager\Operational
, RDP все еще получал успешные подключения к моей личной учетной записи, даже если RDP был отключен. На самом деле он всегда получал успешные подключения к моей учетной записи, но я никогда не сталкивался с этим. пример :
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microsoft-Windows-TerminalServices-LocalSessionManager" Guid="" /> <EventID>21</EventID> <Version>0</Version> <Level>4</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x1000000000000000</Keywords> <TimeCreated SystemTime="2014-02-03T14:38:48.587069400Z" /> <EventRecordID>3186</EventRecordID> <Correlation /> <Execution ProcessID="644" ThreadID="980" /> <Channel>Microsoft-Windows-TerminalServices-LocalSessionManager/Operational</Channel> <Computer>MyComputer</Computer> <Security UserID="XXXXXXXX" /> </System> - <UserData> - <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS"> <User>MyComputer\MyUser</User> <SessionID>1</SessionID> <Address>LOCAL</Address> </EventXML> </UserData> </Event>
И все же RDP отключен, и я не вышел из системы в любой момент.
В Microsoft\TerminalServices-RemoteConnectionManager\Operational
я видел многие пользователи проверки подлинности, например, administrator
счет, который является инвалидом, и учетная запись с именем john
(и нет никаких таких пользователей, зарегистрированных на моем компьютере). пример :
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microsoft-Windows-TerminalServices-RemoteConnectionManager" Guid="" /> <EventID>1149</EventID> <Version>0</Version> <Level>4</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x1000000000000000</Keywords> <TimeCreated SystemTime="2014-02-02T22:29:49.155951400Z" /> <EventRecordID>55095</EventRecordID> <Correlation /> <Execution ProcessID="456" ThreadID="5220" /> <Channel>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</Channel> <Computer>MyComputer</Computer> <Security UserID="XXXXXX" /> </System> - <UserData> - <EventXML xmlns:auto-ns2="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS"> <Param1>administrator</Param1> <Param2 /> <Param3>aaa.bbb.ccc.ddd</Param3> </EventXML> </UserData> </Event>
Эта запись была зарегистрирована как успешная, даже если administrator
она отключена.
Насколько это плохо? ?
0 ответов на вопрос
Похожие вопросы
-
12
Почему папка / winsxs становится такой большой и ее можно уменьшить?
-
2
Повышенные привилегии для запуска приложений в Windows?
-
14
PDF Viewer в Windows
-
-
7
Какие службы Windows можно безопасно отключить?
-
8
Firefox PDF плагин для просмотра PDF в браузере на Windows
-
1
Windows теряет макет экрана
-
1
Есть ли способ предотвратить установку / обновление, чтобы засорять мой жесткий диск загадочными пап...
-
1
Как я могу получить доступ к принтеру Windows Vista из Ubuntu по сети?
-
6
Просмотр журнала в Windows
-
3
Фоновая проблема Windows с двумя экранами