4 votes

user783154 avatar

Événement ID 1158 : "Les Services Bureau à distance ont accepté une connexion depuis l'adresse IP xxx.xxx.xxx.xxx"

Demandé el 25 de Mai, 2015
Quand la question a-t-elle été
7719 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai configuré un bureau à domicile avec un domaine local et un seul Windows Server 2012 R2 et j'ai autorisé le port 3389 du routeur vers mon serveur.

Tout en sachant que c'est dangereux, je l'ai configuré de cette façon afin d'effectuer plusieurs tests d'audit qui m'ont été demandés.

J'ai installé l'édition gratuite de ZoneAlarm et le pare-feu de Windows est désactivé.

Après avoir autorisé le port 3389 pendant environ un mois, j'ai remarqué ce journal d'événements sur Event Viewer :

"Événement ID 1158 : "Les Services Bureau à distance ont accepté une connexion depuis l'adresse IP xxx.xxx.xxx.xxx"

Comme ces IP proviennent de plusieurs pays, je me demande si ce journal d'événements signifie que ces IP se sont effectivement introduites dans mon système ou si ce journal d'événements signale simplement une connexion entrante qui pourrait être acceptée ou rejetée en fonction du succès ou de l'échec de la connexion.

Veuillez m'excuser si la réponse à cette question peut être facilement trouvée mais je n'ai pas trouvé de réponse pertinente si ce n'est les risques que l'on prend en ouvrant RDP avec son port par défaut.

Demandé el 25 de Mai, 2015 par user783154

Réponse

Trop de publicités?

4voto

Ryan Ries avatar
Ryan Ries Points 54671

Non, cet événement seul ne signifie pas nécessairement qu'une personne non autorisée s'est connectée à votre serveur. Ces événements indiquent simplement qu'une connexion TCP a été établie - cela ne signifie pas qu'ils ont saisi des informations d'identification valides.

Lorsque vous exposez un service à l'Internet, vous verrez des tonnes de tentatives de connexion aléatoires. Toute la journée, tous les jours. Personnellement, je ne pense pas qu'exposer RDP à l'Internet soit si dangereux, tant que vous suivez quelques règles :

  • Restez toujours à jour avec les correctifs de sécurité.
  • Utilisez toujours un mot de passe extrêmement fort.
  • Renommez votre compte administrateur.
  • L'authentification au niveau du réseau (NLA) doit toujours être activée. Il s'agit du paramètre qui indique "Autoriser les connexions uniquement à partir d'ordinateurs exécutant le Bureau à distance avec l'authentification au niveau du réseau (recommandé)".

Quelques bulletins de sécurité impliquant RDP ont été publiés ces dernières années, mais à chaque fois, l'utilisation de NLA a permis de limiter l'exploitation. Donc, ne le désactivez jamais, au grand jamais.

L'autorité ultime pour savoir quand quelqu'un s'est connecté avec succès à votre serveur ou a essayé sans succès de se connecter à votre serveur est le bon vieux journal de sécurité.

Vous y verrez sans doute de nombreux événements de type Audit Failure qui correspondent à des personnes aléatoires tapant sur votre serveur pour essayer de deviner votre mot de passe.

Chaque fois qu'une personne se connecte avec succès, un événement de type "Audit Success" sera enregistré dans le journal des événements de sécurité, ID d'événement 4624, et il dira "Un compte a été connecté avec succès". Comme vous savez qu'il a dû se connecter via RDP, puisque c'est le seul port ouvert dans votre pare-feu, le type de connexion sera le suivant 2 (interactif.) 10 pour "Remote Interactive" (interactif à distance)

Un autre journal d'événements probablement plus facile à consulter est le journal "TerminalServices-RemoteConnectionManager". Les événements de connexion des utilisateurs y sont également enregistrés. Recherchez l'ID d'événement 1149 qui indique

Remote Desktop Services: User authentication succeeded:

User: Administrator
Domain: COMPUTER
Source Network Address: 8.8.8.8

Maintenant, si vous voyez un événement comme ça, que vous ne pouvez pas expliquer, alors vous pouvez commencer à vous inquiéter. :)

Répondu el 26 de Mai, 2015 par Ryan Ries (54671 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X