1. Windows 远程桌面的入侵隐患

虽然 Microsoft 的 RDP （Remote Desktop Protocol）是专有的远程桌面协议，但不少开源项目已经通过逆向工程或者公开文档实现了与 RDP 兼容的功能。这使得通过 RDP 入侵 Windows 桌面成为一种可能。假如你习惯从公司或其他地方以 RDP 远程登录家里的 Windows 电脑，意味着你家的电脑已经面临着公网广泛存在的 RDP 入侵攻击…

防御攻击是一个大话题，而这里只告诉你：怎样检查自己的电脑有没受到可疑的 RDP 接入攻击。

2. Windows 事件查看器

Windows 其实为运行于其上的应用程序提供了全面的审计机制，当中自然也包括 RDP Service。审计入口是一个大多数用户不太关注的系统工具 — 事件查看器。

对于 Win11，打开事件查看器的方法有：

• 在任务栏 Win 图标上点击右键，在弹出菜单中打开：

• 或者，按下 Win+R 组合键，然后输入 eventvwr，按回车即可打开事件查看器。

3. 打开 RDP 事件记录

Windows 事件查看器提供了 RDP 接入的详细审计日志。在事件查看器左侧的导航树中，依次点开：

应用程序和服务日志 -> Microsoft -> Windows -> RemoteDesktopServices-RdpCoreTS

再点击展开的 Operational，即可在事件查看器中列出与 RDP 接入相关的详尽日志。（貌似精确到回调函数的调用）

4. 检查接入事件

怎样判断有无可疑的 RDP 接入信息呢？可以关注下 ID 131 的事件，通过事件筛选器可以将 ID 131 事件筛选出来：

ID 131 是指建立连接的事件，详情信息中列出了尝试远程登录你电脑的 RDP client 所在的 IP 和端口：

检查一下 IP 的归属地，或许能让你看出公网环境的险恶…

Done.

很多人部署 Ubuntu OS 都只是用作服务器，如果偶尔也有 GUI 需求，但又不想专门为此添置显示器，那么趁手的远程桌面工具就是不二之选了。

Ubuntu 的远程桌面方案，大致有如下几种：

• Gnome 自带的远程功能：系统设置中自带的远程桌面功能，优点是简单易用。但因为属于用户服务，所以必须登录系统后才能远程接入，而且一旦触发锁屏还会断开桌面会话，比较鸡肋。
• VNC 协议：跨平台的远程接入协议，但性能比较差，体现在传输图像时延迟较高而帧率较低。
• XRDP 软件：基于 RDP 远程桌面协议的免费开源程序。安装 XRDP 后，可以通过 Windows 的远程桌面客户端（mstsc.exe）接入 Ubuntu，又或者在 Linux 中使用 Remmina 等客户端接入。而且 RDP 协议在传输图像时性能更高，延迟更低。

所以对于无显示器的 Ubuntu OS，推荐使用 XRDP 作为远程接入的服务端。

下面是以 Ubuntu 22.04 为例的 XRDP 配置步骤（shell 命令行操作）：

1. 更新软件列表：

$ sudo apt update

2. 安装 XRDP

$ sudo apt install xrdp

3. 设置防火墙端口通行

XRDP 的默认端口是 3389，与 Windows 上的端口一样，需要设置防护墙放行：

$ sudo ufw allow 3389

4. 设置开机自启动

一般来说，XRDP 在安装完成之后会自动启动。如果没有，可以配置一下：

$ sudo systemctl enable xrdp     # 设置开机自启动
$ sudo systemctl start xrdp     # 手动启动 XRDP

5. 完成，可远程接入

在 Windows 上运行 mstsc.ext，输入上述安装了 XRDP 的计算机 IP，即可接入。

点击“连接”后，登录界面如下图所示：

输入 Ubuntu OS 的用户名和密码，便可登录桌面。

注意

1. Ubuntu Desktop 版本默认的桌面环境是 GNOME；
2. Ubuntu Server 版本默认不安装桌面环境，所以远程接入后只显示一个 Terminal 窗口，如下：