PCDVD數位科技討論區 - 如何追查不請自來的遠端桌面連線？

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)

- 疑難雜症區 (https://www.pcdvd.com.tw/forumdisplay.php?f=34)

- - 如何追查不請自來的遠端桌面連線？ (https://www.pcdvd.com.tw/showthread.php?t=724119)

如何追查不請自來的遠端桌面連線？

有個不請自來的遠端用戶連線進來，那時我人可以看到螢幕，但因為一些原因沒辦法碰電腦，事後我去查了 XP 防火牆的 LOG ，卻發現我設定了〝只紀錄丟棄的連線〞，查過 XP 的〝事件紀錄〞，在遠端連線發生的時間左右有兩筆紀錄分別是

代碼:

事件類型:	資訊
事件來源:	TermService
事件類別目錄:	無
事件識別碼:	1012
日期:		2007-6-6
時間:		22:48:30
使用者:		N/A
電腦:	XXX
描述:
來自用戶端名稱 YYY 的遠端工作階段已超過登入嘗試失敗的最大極限。工作階段因此被迫終止。

請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心，以取得其他資訊。

以及

代碼:

事件類型:	錯誤
事件來源:	TermServDevices
事件類別目錄:	無
事件識別碼:	1114
日期:		2007-6-6
時間:		22:50:43
使用者:		N/A
電腦:	XXX
描述:
與多工緩衝處理系統服務通訊時發生錯誤。請開啟服務嵌入式管理單元，確定列印多工緩衝處理服務正在執行。

請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心，以取得其他資訊。
資料:
0000: ba 06 00 00 54 02 00 00   º...T...

這樣要如何追查？有人知道嗎？

不要浪費時間在那些人身上
(或許他們電腦中毒,或許只是一時好奇)

比較安全的做法是換掉3389這個port
並在防火牆裡限制來源ip (比如你的固定ip)
要擋網段的話
可能就要用比較進階的防火牆了

若不需要就關掉遠端連線吧，不然就是換port也是可行

換 Port 那我得隨時記得不忘記，不然還要查，有點麻煩，

限制來源的話我又無法確定自己會從何方連進來，

那個遠端登入進來我的來賓帳號，幸好我都有設定好權限，

它要連進來時，系統問我是否要中斷現在的連線以讓遠端連線，我那時無法碰電腦，過幾秒後就眼睜睜看著系統自動選擇〝確定〞。