[XP Pro] Remote Desktop geschiedenis - Windows clients

maandag 15 mei 2006 14:04

Acties:

Verwijderd

Topicstarter

Op afstand gebruik ik regelmatig de externe bureaublad in Windows XP Pro. Vaak lijkt het wanneer ik lokaal inlog, dat er gebruik is gemaakt van de RDP. Dit zie ik door de opbouw van het standaard naar XP thema. Dit gebeurt ook als ik niet de laatste keer RDP heb gebruikt. Ik denk dus dat iemand anders via RDP verbinding met mijn computer maakt. Ik ben de enige die weet welke poort ik in m'n netwerk moet gebruiken om met deze pc verbinding te moeten maken, dus lijkt het me niet mogelijk. Ik heb de logbestanden onderzocht, maar kan geen log vinden van de RDP voor wanneer en wie er een login heeft gedaan. Waar kan ik dat wel vinden? Zoniet, welke beveilgingsmaatregelen moet ik treffen om deze situatie te voorkomen?

maandag 15 mei 2006 14:28

Acties:

weebl

YARR!

Dat jij de enige bent die de poort weet maakt niks uit. Er bestaan progjes genaamd 'poortscanners'. Deze kijken op welke poorten je pc openstaat naar het internet toe, en welke service er achter deze poort draait. Dus beveiliging met poorten e.d. is compleet nutteloos.

Verder moet je gewoon een goede gebruikersnaam en wachtwoord op die bak zetten. Dat is de enige beveiliging die ik zo snel kan bedenken. En vaak is dat ook meer dan genoeg.

maandag 15 mei 2006 14:30

Acties:

profweirdo

misschien heeft iemand op een pc waar jij gewerkt hebt ook rdp opgestart en is jouw ip (en poort) daar onthouden?

E6750 @ 3,2 Ghz | MSI P35 | OCZ SpecOps 2Gb | Sparkle 7900GT

maandag 15 mei 2006 14:38

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

je kan toch in de eventviewer zien wie er ingeloged heeft en wanneer?

maandag 15 mei 2006 15:10

Acties:

aZuL2001

Hoe hangt je machine die je overneemt aan het internet ?
Wat draait er verder aan beveiliging ?
Wat zegt de logging (Eventvwr)?

Abort, Retry, Quake ???

maandag 15 mei 2006 15:26

Acties:

Verwijderd

Bij startup - inloggen draai je een scriptje dat bijhoudt wie er inlogd.

code:

1	echo >> c:\naam_bestand.log %COMPUTERNAME% - %USERNAME% - %DATE% - %TIME%

Dan kun je precies zijn wanneer er iemand inlogd, en zeker je password aanpassen om het te voorkomen dat deze misbruikt wordt. Suc6!

maandag 15 mei 2006 15:32

Acties:

PROnline

Bij een RDP sessie onder XP log je niet echt in, maar neem je de actieve sessie over. een login script zal dus niet werken.

maandag 15 mei 2006 16:22

Acties:

Verwijderd

PROnline schreef op maandag 15 mei 2006 @ 15:32:
Bij een RDP sessie onder XP log je niet echt in, maar neem je de actieve sessie over. een login script zal dus niet werken.

I Know ! Dan log je uit !

In mijn ogen zou ik allereerst pw veranderen en eventviewer bekijken.

maandag 15 mei 2006 18:40

Acties:

Verwijderd

PROnline schreef op maandag 15 mei 2006 @ 15:32:
Bij een RDP sessie onder XP log je niet echt in, maar neem je de actieve sessie over. een login script zal dus niet werken.

Na mijn idee is RDP "Remote Desktop Protocol" waarvan Remote Desktop EN Remote Assistence gebruik van maken. Dus om te zeggen dat een RDP sessie niet echt inlogged klopt niet helemaal.

maandag 15 mei 2006 20:00

Acties:

Verwijderd

Topicstarter

aZuL2001 schreef op maandag 15 mei 2006 @ 15:10:
Hoe hangt je machine die je overneemt aan het internet ?
Wat draait er verder aan beveiliging ?
Wat zegt de logging (Eventvwr)?

Bedankt voor de snelle reacties! De machine staat 24h per dag aan en hangt via een router/switch aan internet. De doorverwijzing van poort 3389 heb ik een andere poort gegeven. Verder draait de XP SP2 firewall. Misschien is een andere firewall (bv. Mcafee) beter? Maar wie m'n poort en login account weet komt er volgens mij toch wel in... Van de Eventvwr wordt ik niet veel wijzer. Ik kan niets terugvinden wat hiermee te maken heeft. Op welk event (nr.) moet ik letten om login pogingen te zien?

Aantal maanden geleden heb ik events 11728 en 1524 gevonden van een user genaamd "daemon". Deze user was aangemaakt in XP zonder dat ik dat gedaan had. Waarschijnlijk is dit ook op afstand gebeurd, terwijl ik dacht de boel in orde te hebben. Ik kwam erachter toen ik op m'n machine werkte en plotseling zag dat "workstation\daemon" m'n computer overnam. Ik trok direct de stekker eruit! Na onderzoek en z'n IP adres (volgens m'n webserver mysql aanvallen) aan een duitse ISP als misbruiker te hebben doorgegeven, heb ik er sindsdien geen last meer van gehad. Is hier misschien een verklaring voor?

[ Voor 3% gewijzigd door Verwijderd op 15-05-2006 20:02 ]

maandag 15 mei 2006 21:01

Acties:

sanfranjake

Computers can do that?

Ik hoop dat je na dit voorval de machine hebt geformatteerd?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 15 mei 2006 22:41

Acties:

aZuL2001

Lijkt me ook dat jouw machine niet meer de jouwe is.

En is je externe poort nu nog steeds de standaard ? of begrijp ik het niet goed ? Want dat is wel redelijk van belang lijkt me.

Een betere optie lijkt me trouwens om mbv remote administration van je router eerst de bewuste poort open te zetten, en dan pas te RDP-en. Na gebruik poortje weer dicht.

Of nog beter : vpn.

En een sterk wachtwoord, en geregeld wijzigen.
Dat allemaal nadat je je machine hebt geherinstalleerd.

[ Voor 82% gewijzigd door aZuL2001 op 15-05-2006 22:47 . Reden: aanvulling ]

Abort, Retry, Quake ???

maandag 15 mei 2006 22:51

Acties:

SlinkingAnt

Ik weet niet hoe jullie je remote verder beveiligen, maar als je je administrator-account ten eerste is renamed, vervolgens een guest-user aanmaakt met de naam administrator, zonder rdp-rechten. Lijkt me dan al verdomd moeilijk om dan zowel de user als pass combinatie goed te hebben

En anders eerst een VPN-verbinding opzetten, en naar het lokale ip connecten