最近我注意到,当我启动 Windows 时,在启动之后,在执行任何操作或启动任何其他应用程序之前,任务管理器中总是有 3 个远程桌面进程(下面的屏幕截图)。
如果我尝试杀死它们,则会立即产生另一个具有不同 PID 的远程桌面进程,最终我又会得到 3 个意外进程。
这可能是某种后门或恶意软件,还是正常的 Windows 11 行为?
我在网上搜索了一下,发现更多人有这个问题但没有解释或解决方案。
我已检查不允许远程桌面连接:
但我不确定它是否有效,因为在配置>隐私和安全>对于程序员中,有一个设置被选中,上面写着“更改配置以允许远程连接到此计算机”:
当我进入配置的这一部分时,它会被选中,如果我尝试取消选中它,下面的“应用”按钮将被禁用,所以我无法更改它。
有什么线索吗?
编辑
我提供了有关意外进程的更多详细信息。检查谁是父进程,我发现所有意外的远程桌面进程都具有相同的模式(仅显示输出中有趣的几行):
PS C:\Users\> wmic process get Caption,ParentProcessId,ProcessId
Caption ParentProcessId ProcessId
svchost.exe 1032 16008
wslhost.exe 16008 8864
conhost.exe 8864 6476
mstsc.exe 8864 19292
因此,进程树是 svchost > wslhost > mstsc。那么我的问题是为什么 Windows Subsystem for linux 会启动远程桌面进程?
如果我这样做,我可以确认连接确实会消失wsl --shutdown。