ID do Evento 1158: “Serviços de Área de Trabalho Remota aceitam uma conexão do endereço IP xxx.xxx.xxx.xxx”

Navegue suas respostas
4

Eu configurei um home office com um domínio local com apenas um Windows Server 2012 R2 e permiti a porta 3389 do roteador para o meu servidor.

Apesar de saber que isso é perigoso, configurei-o dessa forma para executar vários testes de auditoria para os quais fui avisado.

Eu tenho o ZoneAlarm free edition instalado, portanto, o Firewall do Windows está desativado.

Depois de permitir a porta 3389 por cerca de um mês, notei esse log de eventos no Visualizador de Eventos:

"ID do Evento 1158:" Os Serviços de Área de Trabalho Remota aceitaram uma conexão do endereço IP xxx.xxx.xxx.xxx "

Como esses IPs originários de vários países, gostaria de saber se esse log de eventos significa que esses IPs realmente invadiram meu sistema ou se esse log de eventos apenas alerta para uma conexão recebida que poderia ser aceita ou rejeitada dependendo do sucesso do logon ou falha correspondentemente.

Por favor, desculpe-me se esta questão puder ser facilmente respondida, mas não consegui encontrar nenhuma resposta relevante, exceto os riscos que é necessário para abrir o RDP com sua porta padrão.

    
por archergr 25.05.2015 / 21:59

1 resposta

3

Não, esse evento por si só não significa necessariamente que uma pessoa não autorizada tenha efetuado login no seu servidor. Esses eventos simplesmente indicam que uma conexão TCP foi estabelecida - isso não significa que eles entraram com credenciais válidas.

Quando você expõe qualquer serviço à Internet, você verá várias tentativas aleatórias de conexão. Durante todo o dia todos os dias. Pessoalmente, não acho que expor o RDP à Internet seja tão perigoso, desde que você siga algumas regras:

  • Mantenha-se sempre atualizado com os patches de segurança.
  • Sempre use uma senha extremamente strong.
  • Renomeie sua conta de administrador.
  • Tenha sempre a Autenticação no Nível da Rede (NLA) ativada. Esta é a configuração que diz "Permitir conexões somente de computadores que executam a Área de Trabalho Remota com Autenticação no Nível de Rede (recomendado)"

Houve alguns boletins de segurança envolvendo o RDP nos últimos anos, mas, a cada vez, o uso do NLA mitigava a exploração. Então nunca, nunca desligue isso.

A autoridade máxima para saber quando alguém fez logon com êxito em seu servidor ou tentou, sem sucesso, fazer logon em seu servidor é o antigo e confiável log de Segurança.

Você, sem dúvida, verá muitos eventos do tipo "Falha na auditoria" que correspondem a pessoas aleatórias que estão atacando seu servidor, tentando adivinhar sua senha.

Sempre que alguém fizer logon com êxito, um evento do tipo "Sucesso de auditoria" será gravado no log de eventos de segurança, ID de evento 4624, e será exibido "Uma conta foi conectada com êxito". Como você sabe que eles terão que entrar por meio do RDP, já que essa é a única porta aberta em seu firewall, o tipo de logon será 2 (interativo.) 10 para "Remote Interactive"

Outro log de eventos que provavelmente é mais fácil de filtrar é o log "TerminalServices-RemoteConnectionManager". Os eventos de logon do usuário são registrados lá também. Procure o evento ID 1149 que diz 

Remote Desktop Services: User authentication succeeded:

User: Administrator
Domain: COMPUTER
Source Network Address: 8.8.8.8

Agora, se você vir um evento como esse, que não consegue explicar, comece a se preocupar. :)

    
por 26.05.2015 / 15:49

Tags

Reinstale o certificado CA e CRL do ADCS na estação de trabalho O aplicativo encontrou um erro ao tentar alterar o estado de 'WindowsServer2008'