如何检查 Windows 有无遭受 RDP 入侵?
1. Windows 远程桌面的入侵隐患
虽然 Microsoft 的 RDP (Remote Desktop Protocol)是专有的远程桌面协议,但不少开源项目已经通过逆向工程或者公开文档实现了与 RDP 兼容的功能。这使得通过 RDP 入侵 Windows 桌面成为一种可能。假如你习惯从公司或其他地方以 RDP 远程登录家里的 Windows 电脑,意味着你家的电脑已经面临着公网广泛存在的 RDP 入侵攻击…
防御攻击是一个大话题,而这里只告诉你:怎样检查自己的电脑有没受到可疑的 RDP 接入攻击。
2. Windows 事件查看器
Windows 其实为运行于其上的应用程序提供了全面的审计机制,当中自然也包括 RDP Service。审计入口是一个大多数用户不太关注的系统工具 — 事件查看器。
对于 Win11,打开事件查看器的方法有:
- 在任务栏 Win 图标上点击右键,在弹出菜单中打开:
- 或者,按下 Win+R 组合键,然后输入 eventvwr,按回车即可打开事件查看器。
3. 打开 RDP 事件记录
Windows 事件查看器提供了 RDP 接入的详细审计日志。在事件查看器左侧的导航树中,依次点开:
应用程序和服务日志 -> Microsoft -> Windows -> RemoteDesktopServices-RdpCoreTS
再点击展开的 Operational,即可在事件查看器中列出与 RDP 接入相关的详尽日志。(貌似精确到回调函数的调用)
4. 检查接入事件
怎样判断有无可疑的 RDP 接入信息呢?可以关注下 ID 131 的事件,通过事件筛选器可以将 ID 131 事件筛选出来:
ID 131 是指建立连接的事件,详情信息中列出了尝试远程登录你电脑的 RDP client 所在的 IP 和端口:
检查一下 IP 的归属地,或许能让你看出公网环境的险恶…
Done.