|
||
|
*停權中*
加入日期: Dec 2004
文章: 275
|
如何追查不請自來的遠端桌面連線?
有個不請自來的遠端用戶連線進來,那時我人可以看到螢幕,但因為一些原因沒辦法碰電腦,事後我去查了 XP 防火牆的 LOG ,卻發現我設定了〝只紀錄丟棄的連線〞,查過 XP 的〝事件紀錄〞,在遠端連線發生的時間左右有兩筆紀錄分別是
代碼:
事件類型: 資訊 事件來源: TermService 事件類別目錄: 無 事件識別碼: 1012 日期: 2007-6-6 時間: 22:48:30 使用者: N/A 電腦: XXX 描述: 來自用戶端名稱 YYY 的遠端工作階段已超過登入嘗試失敗的最大極限。工作階段因此被迫終止。 請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。 以及 代碼:
事件類型: 錯誤 事件來源: TermServDevices 事件類別目錄: 無 事件識別碼: 1114 日期: 2007-6-6 時間: 22:50:43 使用者: N/A 電腦: XXX 描述: 與多工緩衝處理系統服務通訊時發生錯誤。請開啟服務嵌入式管理單元,確定列印多工緩衝處理服務正在執行。 請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。 資料: 0000: ba 06 00 00 54 02 00 00 º...T... 這樣要如何追查?有人知道嗎? 此文章於 2007-06-07 07:53 AM 被 raiechun 編輯. |
|||||||
2007-06-07, 07:51 AM
#1
|
|
|
Power Member
 加入日期: Dec 2006
文章: 601
|
不要浪費時間在那些人身上
(或許他們電腦中毒,或許只是一時好奇) 比較安全的做法是換掉3389這個port 並在防火牆裡限制來源ip (比如你的固定ip) 要擋網段的話 可能就要用比較進階的防火牆了 |
||
|
2007-06-07, 10:04 AM
#2
|
|
|
Major Member
加入日期: May 2003
文章: 113
|
若不需要就關掉遠端連線吧,不然就是換port也是可行
|
|
2007-06-07, 10:08 AM
#3
|
|
|
*停權中*
加入日期: Dec 2004
文章: 275
|
換 Port 那我得隨時記得不忘記,不然還要查,有點麻煩,
限制來源的話我又無法確定自己會從何方連進來, 那個遠端登入進來我的來賓帳號,幸好我都有設定好權限, 它要連進來時,系統問我是否要中斷現在的連線以讓遠端連線,我那時無法碰電腦,過幾秒後就眼睜睜看著系統自動選擇〝確定〞。 |
|
2007-06-07, 10:23 AM
#4
|
|
