1. Windows 远程桌面的入侵隐患

虽然 Microsoft 的 RDP （Remote Desktop Protocol）是专有的远程桌面协议，但不少开源项目已经通过逆向工程或者公开文档实现了与 RDP 兼容的功能。这使得通过 RDP 入侵 Windows 桌面成为一种可能。假如你习惯从公司或其他地方以 RDP 远程登录家里的 Windows 电脑，意味着你家的电脑已经面临着公网广泛存在的 RDP 入侵攻击…

防御攻击是一个大话题，而这里只告诉你：怎样检查自己的电脑有没受到可疑的 RDP 接入攻击。

2. Windows 事件查看器

Windows 其实为运行于其上的应用程序提供了全面的审计机制，当中自然也包括 RDP Service。审计入口是一个大多数用户不太关注的系统工具 — 事件查看器。

对于 Win11，打开事件查看器的方法有：

• 在任务栏 Win 图标上点击右键，在弹出菜单中打开：

• 或者，按下 Win+R 组合键，然后输入 eventvwr，按回车即可打开事件查看器。

3. 打开 RDP 事件记录

Windows 事件查看器提供了 RDP 接入的详细审计日志。在事件查看器左侧的导航树中，依次点开：

应用程序和服务日志 -> Microsoft -> Windows -> RemoteDesktopServices-RdpCoreTS

再点击展开的 Operational，即可在事件查看器中列出与 RDP 接入相关的详尽日志。（貌似精确到回调函数的调用）

4. 检查接入事件

怎样判断有无可疑的 RDP 接入信息呢？可以关注下 ID 131 的事件，通过事件筛选器可以将 ID 131 事件筛选出来：

ID 131 是指建立连接的事件，详情信息中列出了尝试远程登录你电脑的 RDP client 所在的 IP 和端口：

检查一下 IP 的归属地，或许能让你看出公网环境的险恶…

Done.