我已经使用仅一台 Windows Server 2012 R2 的本地域设置了一个家庭办公室,并且我允许从路由器到我的服务器的端口 3389。
尽管知道这很危险,但我还是这样设置它,以便执行我被告知的几项审计测试。
我安装了 ZoneAlarm 免费版,因此 Windows 防火墙被禁用。
允许 3389 端口约一个月后,我注意到事件查看器上出现了以下事件日志:
“事件 ID 1158:“远程桌面服务接受来自 IP 地址 xxx.xxx.xxx.xxx 的连接”
由于这些 IP 来自多个国家,我想知道这个事件日志是否意味着这些 IP 确实闯入了我的系统,或者这个事件日志是否只是对传入连接发出警报,根据登录成功或失败相应地可以接受或拒绝该连接。
如果这个问题可以轻松回答,请原谅我,但除了使用默认端口打开 RDP 所带来的风险之外,我找不到任何相关的答案。
答案1
不,仅发生该事件并不一定意味着未经授权的人登录了您的服务器。这些事件仅表明建立了 TCP 连接 - 并不意味着他们输入了有效的凭据。
当你将任何服务暴露在互联网上时,你会看到大量随机的连接尝试。每天每刻都在发生。就我个人而言,我认为将 RDP 暴露在互联网上并不危险,只要你遵循以下几条规则:
- 始终保持最新的安全补丁。
- 始终使用极其强大的密码。
- 重命名您的管理员帐户。
- 始终启用网络级别身份验证 (NLA)。此设置表示“仅允许运行具有网络级别身份验证的远程桌面的计算机进行连接(推荐)”
过去几年中,曾出现过一些涉及 RDP 的安全公告,但每次使用 NLA 都能缓解漏洞。所以永远不要关闭它。
了解某人何时成功登录到您的服务器或何时尝试登录到您的服务器但未成功的唯一途径是古老而可信赖的安全日志。
毫无疑问,您将在其中看到许多审核失败类型的事件,这些事件对应于随机人员攻击您的服务器并试图猜测您的密码。
每当有人成功登录时,安全事件日志中都会记录一个“审核成功”类型的事件,事件 ID 为 4624,并且会显示“帐户已成功登录”。由于您知道他们必须通过 RDP 进入,因为这是防火墙中唯一打开的端口,因此登录类型将为2(交互式)。 “远程交互式”为 10
另一个可能更容易筛选的事件日志是“TerminalServices-RemoteConnectionManager”日志。用户登录事件也记录在那里。查找事件 ID 1149,它表示
Remote Desktop Services: User authentication succeeded:
User: Administrator
Domain: COMPUTER
Source Network Address: 8.8.8.8
现在,如果您看到了这样的事件,而您无法解释,那么您就可以开始担心了。:)