Kako ugotoviti, ali je nekdo omogočil in uporablja oddaljeno namizje v vašem računalniku

Že sama misel, da Nekdo bi lahko na daljavo upravljal vaš računalnik, ne da bi vi to opazili. Sliši se kot nekaj iz hekerskega filma, vendar je v vsakdanjem življenju veliko bolj pogosto, kot se zdi: tehnična podporaSkrbništvo strežnikov, delo na daljavo ... in tudi napadi. ​​Zato, Preverite, ali je nekdo v vašem računalniku omogočil oddaljeno namizje. In kako spremljati te dostopne točke, je nekaj Bistveno, če želite imeti svojo zasebnost pod nadzorom.

V tem članku boste korak za korakom videli, kako preveriti, kdo ima dostop prek oddaljenega namizja (RDP) do vašega računalnika ali strežnika, Kako videti, kdo se povezuje, kako pregledati varnostne dnevnike In kaj storiti, če sumite, da nekdo vstopa brez dovoljenja. To bomo storili v jasnem jeziku, z uporabo orodij sistema Windows (vključno z Windows XP/7/10/11 in Windows Server) in po potrebi razpravljali o rešitvah drugih ponudnikov, ki razširjajo možnosti spremljanja.

Kaj točno je oddaljeno namizje (RDP) in zakaj je tako pomembno, da ga nadzorujemo?

Oddaljeno namizje sistema Windows temelji na Microsoftov protokol za oddaljeno namizje (RDP)Ta sistem vam omogoča povezavo z drugim računalnikom prek omrežja in ogled njegovega namizja, kot da bi sedeli pred njim. Ta protokol pošilja grafični vmesnik odjemalcu in v zameno prejema vnos s tipkovnice in miške.

V praksi, RDP se uporablja za to, da zaposlenim, podpornim tehnikom in skrbnikom omogoča dostop do računalnikov in strežnikov, ne da bi zapustili svojo lokacijo.Je priročen, hiter in zelo učinkovit za upravljanje kompleksne infrastrukture ali zagotavljanje oddaljene pomoči manj tehnično podkovanim uporabnikom.

Podjetja imajo od te tehnologije veliko koristi: delo na daljavo, upravljanje strežnikov v podatkovnih centrih, reševanje incidentov, sodelovanje v skupini in dostop do internih aplikacij ki so na voljo samo v poslovnem omrežju. Celo mnoga komercialna orodja so zgrajena na RDP-ju ali pa ga uporabljajo kot osnovo.

Velika prednost RDP je, da Za upravljanje naprave vam ni treba biti fizično pred njo.Vse, kar potrebujete, je internetna povezava (idealno varna) in veljavne poverilnice. To je prednost za produktivnost, hkrati pa odpira zelo mamljiva vrata za vse, ki želijo vdreti v vaš sistem.

Na srečo RDP ni sito, če ga pravilno konfigurirate: Vključuje šifriranje, močno preverjanje pristnosti in ga je mogoče kombinirati z MFA, VPN in varnostnimi pravilniki.Težava nastane, ko je odprt za internet, s šibkimi gesli, preveč uporabniki ali brez spremljanja dogajanja.

Zakaj je ključnega pomena vedeti, kdo ima oddaljeni dostop do vašega računalnika

Ko omogočite oddaljeno namizje, v bistvu pravite: "Dovoljujem upravljanje te naprave na daljavo, če poznate uporabniško ime in geslo."Če ne nadzorujete, kdo lahko vstopi, se izpostavljate številnim neprijetnim težavam.

Najprej je tu vprašanje čiste in preproste varnosti: Odprt in slabo zavarovan RDP je neposredna vstopna točka v vaš sistem.Napadalci pogosto pregledujejo območja IP-naslovov in iščejo naprave z aktivnim RDP-jem, da bi z uporabo surove sile vnesli gesla (napadi s surovo silo) ali izkoristili ranljivosti, če gesla niso posodobljena.

Če nekomu uspe priti noter, so tveganja precejšnja: Kraja občutljivih informacij, dostop do podatkovnih baz, kopiranje zaupnih dokumentov ali manipulacija konfiguracijLahko bi celo namestili izsiljevalsko programsko opremo, ustvarili nove skrbniške račune ali se skrili v vašem omrežju, da bi še naprej raziskovali druge računalnike.

Ne gre samo za to, da "se ti to ne zgodi". Vdor v RDP lahko povzroči izpade, pravne težave zaradi uhajanja podatkov, regulativne kazni in znaten udarec za ugled vašega podjetja.In če gre za vaš osebni računalnik, lahko škoda sega od izgube fotografij in dokumentov do kraje bančnih poverilnic.

Zato je tako pomembno biti jasen Kateri uporabniki so del skupine »Uporabniki oddaljenega namizja«, kdo se dejansko povezuje in katere seje so trenutno aktivne ali so bile aktivne v preteklosti?Ta preglednost vam omogoča, da preprečite nepotreben dostop, zaznate sumljive uporabnike in pravočasno ukrepate.

Znaki, da nekdo morda uporablja vaš računalnik na daljavo brez vaše vednosti

Čeprav v mnogih primerih daljinski upravljalnik ostane večinoma neopažen, Obstajajo vizualni in vedenjski znaki, ki lahko razkrijejo, da nekdo uporablja vaš računalnik.bodisi prek oddaljenega namizja sistema Windows bodisi prek drugih programov za oddaljeni dostop ali specializirane zlonamerne programske opreme.

Eden najbolj očitnih znakov je videti, da Kazalec miške se premika, klika ali tipka samodejno, ne da bi se vi česar koli dotaknili.Če zagotovo veste, da v tistem trenutku nihče iz podpore ni na spletu, je to zelo jasen opozorilni znak.

Drug tipičen simptom je, da programi, okna raziskovalca datotek, nastavitve ali ukazne konzole se odprejo ali zaprejo brez vašega posredovanjaVčasih so to zelo hitra dejanja, ki jih komaj opazite, če pa se ponavljajo, se nekaj dogaja.

Prav tako je vredno biti pozoren na zmogljivost: če vaš računalnik deluje veliko počasneje kot običajno, čeprav nimate odprtih nobenih zahtevnih aplikacijMorda nekdo v ozadju izvaja oddaljena opravila, prenaša datoteke ali izvaja orodja.

In končno, omrežje: Če vaša internetna povezava nenehno pošilja in prejema podatke, tudi ko navidezno ne uporabljate ničesar na spletuDobro je pregledati, kateri procesi ustvarjajo promet in Preverite, ali v vašem omrežju prihaja do nevidnih mikroizpadovDaljinski upravljalnik ali zlonamerna programska oprema običajno ves čas vzdržuje aktivne povezave.

Kako ugotoviti, ali je oddaljeno namizje omogočeno v sistemu Windows

Prva stvar, preden se lotimo zapisov in dogodkov, je Preverite, ali je v računalniku omogočeno oddaljeno namizje.Če je onemogočen, ne bodo mogli vstopiti prek te specifične metode (čeprav lahko uporabljajo druge oddaljene programe ali trojanske konje).

V sodobnih različicah sistema Windows (10 in 11) lahko to storite v aplikaciji Nastavitve:

• Pritisnite Win + I , da odprete Nastavitve.
• Vnesite Sistem > Oddaljeno namizje.
• Poglej stikalo »Omogoči oddaljeno namizje«Če je aktiven in se ne spomnite, da bi ga tako nastavili, ga je morda konfiguriral kdo drug.

Če vidite, da je omogočeno in ne želite dovoliti več povezav, takoj ga izključite.Preprosto premaknite stikalo na "Izklopljeno" in uporabite spremembe.

V starejših sistemih, kot sta Windows XP Professional ali Windows 7, stvari delujejo prek drugačnega menija: Lastnosti sistema > zavihek OddaljenoTam lahko potrdite ali počistite polje, ki dovoljuje povezave z oddaljenim namizjem. XP nima vgrajenega opozorila, ki bi vas v realnem času obveščalo, ko se nekdo poveže, lahko pa uporabite dnevnike in druga orodja.

Kako preveriti, kdo ima dovoljenje za povezavo prek oddaljenega namizja

Ni dovolj vedeti, ali je RDP vklopljen, ampak je tudi bistveno Preglejte, kateri uporabniki imajo pravice za oddaljeno povezavoTo se upravlja prek lokalnih skupin znotraj sistema.

V sistemu Windows Server in številnih namiznih izdajah si to najjasneje ogledate v konzoli za upravljanje računalnika:

• Odprite meni Start in poiščite "Upravljanje opreme" (ali »Upravljanje računalnika«).
• Na levi plošči vnesite Sistemska orodja > Lokalni uporabniki in skupine.
• Kliknite na Skupine in poiščite skupino z imenom »Uporabniki oddaljenega namizja«.
• Odprite ga z dvojnim klikom in preverite seznam članov.

V tem oknu boste videli vsi uporabniki in skupine, ki imajo pravico do prijave prek RDPČe opazite račune, ki vam niso znani, prevelike skupine ali stare uporabnike, ki se jim ne bi smelo več pridruževati, je smiselno, da jih odstranite iz skupine.

Upoštevajte, da v mnogih okoljih Skrbniki se lahko prijavijo prek RDP, tudi če niso navedeni v tej skupini.Ker imajo več privilegijev. Zato je ključnega pomena spremljati, kdo je lokalni ali domenski skrbnik, ne le, kdo je prikazan v razdelku »Uporabniki oddaljenega namizja«.

Ogled aktivnih povezav RDP in oddaljenih sej v realnem času

Če je tisto, kar si želiš vedeti, kdo je trenutno povezan prek oddaljenega namizjaGlede na sistem in nameščena orodja si ga lahko ogledate na več načinov. Nekateri so bolj vizualni, drugi pa vključujejo ukazno vrstico.

Na strežnikih, konfiguriranih kot Gostitelj sej oddaljenega namizja (RDSH) V sistemu Windows Server je ena od klasičnih možnosti Skrbnik storitev oddaljenega namizjaki ga lahko naložite kot dodatek v MMC:

• Pritisnite Win + R, vtipkajte mmc in sprejmite.
• Pojdi na Datoteka > Dodaj ali odstrani snap-in.
• Izberite »Upravitelj storitev oddaljenega namizja« in ga dodajte.
• Izberite, ali se želite povezati z lokalnim ali oddaljenim računalnikom.
• Ko se naloži, preverite zavihke »Uporabniki« in »Seje« da vidite, kdo je notri, ID seje, stanje itd.

V sodobnejših okoljih s sistemom Windows Server 2012 in novejšimi različicami imate na voljo tudi Konzola za upravljanje oddaljenega dostopaintegrirano z vlogo oddaljenega dostopa (DirectAccess + VPN). V upravitelju strežnikov lahko odprete "Upravljanje oddaljenega dostopa"Pojdite v razdelek s poročili in v njem na »Stanje oddaljenega odjemalca« za ogled povezanih uporabnikov in podrobne statistike.

Če raje uporabljate ukaze, PowerShell ponuja ukaz »Get-RemoteAccessConnectionStatistics«.To orodje vrne statistiko o oddaljenih povezavah. Filtrirate lahko po uporabniškem imenu, računalniku, vrsti povezave (DirectAccess ali VPN), naslovih IP, uporabljenem protokolu za tuneliranje, določenem strežniku za oddaljeni dostop itd., kar vam daje dokaj jasno sliko o tem, kdo je povezan in kako.

Uporaba upravitelja opravil in osnovnih orodij za ogled povezanih uporabnikov

Na namiznih računalnikih ali strežnikih, kjer nimate konfiguriranih vlog RDS, se lahko zatečete k Z upraviteljem opravil si oglejte, kateri uporabniki so povezani. takrat, tako lokalno kot na daljavo.

Če želite to narediti:

• Odprite Upravitelj opravil s Ctrl + Shift + Esc ali kliknite z desno miškino tipko v opravilni vrstici.
• Pojdi na zavihek »Uporabniki« (če je na voljo v vaši različici sistema Windows).
• Tam Videli boste seznam aktivnih računov, stanje seje in pogosto tudi od kod se povezujejo.

Ne loči vedno kristalno jasno med lokalnimi in oddaljenimi sejami, vendar Če vidite več uporabnikov, ki so hkrati povezani, eden od njih morda uporablja RDP ali kakšno drugo vrsto oddaljene seje.To je hiter pregled, če se še ne želite poglabljati v dnevnike dogodkov.

V sistemu Windows XP Professional so bile vizualne možnosti bolj omejene in Ni vgrajene funkcije, ki bi vas diskretno obvestila, ko se nekdo povežeNajbolj zanesljiv pristop je, da se zanesete na pregledovalnik dogodkov in po potrebi na orodja drugih ponudnikov, ki ustvarijo obvestila, ko zaznajo prijave na oddaljeno namizje.

Oglejte si, kdo se je prijavil na daljavo z ukazi (CMD in PowerShell)

Če se dobro razumeš s konzolo, CMD in PowerShell omogočata neposreden ogled povezanih uporabnikov in sej RDPTo je odlično, če delate z več ekipami ali če želite administrativne skripte.

V ukaznem pozivu lahko uporabite ukaze, kot so quoser o uporabnik poizvedbe:

• Odprite CMD (Win + R, vnesite ukaz in pritisnite Enter).
• Izvedi quser /strežnik:ImeOddaljeneOpreme o uporabnik/strežnik poizvedbe: ime oddaljenega računalnika.
• Videli boste tabelo s povezanimi uporabniki, njihovimi sejami, stanjem in časom izpada.

Če želite preveriti več računalnikov hkrati, lahko uporabite verižne ukaze, na primer: quser /server:equipo1 & quser /server:equipo2 & quser /server:equipo3Na ta način dobite pregled različnih strojev naenkrat.

PowerShell ponuja tudi nekaj zanimivih možnosti. Na primer Get-CimInstance -ClassName Win32_ComputerSystem -ComputerName ComputerName | Select -ExpandProperty UporabniškoIme Vrne, kateri uporabnik je prijavljen v konzolo oddaljenega računalnika (sodoben ekvivalent Get-WmiObject). Bodite previdni pri tem: Če je uporabnik povezan samo prek RDP in ne v lokalni seji, je rezultat lahko prazen.Zato to vzemite kot dodatno informacijo, ne kot dokončen dokaz.

Ukazi NBTSTAT in orodja Sysinternals za oddaljene uporabnike

Še en nekoliko bolj "klasičen" vir je Z ukazom nbtstat poizvedite o imenih NetBIOS v oddaljenem računalnikuTo vam lahko da namige o tem, kateri uporabniki so dostopali do skupnih virov.

Postopek bi bil:

• Odprite CMD z zadostnimi dovoljenji.
• Izvedi nbtstat -a ImeEkipe če poznate ime NetBIOS ali nbtstat -A IP-naslov če imate samo IP-naslov (upoštevajte razliko med malo črko -a in veliko črko -A).
• Analizirajte tabelo imen NetBIOS, ki jo vrne ukaz.

To se lahko pokaže uporabniška imena, povezana z deljenimi viri in omrežnimi sejamiVendar ima več pomembnih omejitev: zanaša se na podedovano tehnologijo, ne odraža vedno trenutnega uporabnika in ne razlikuje posebej sej RDP, temveč dostop do skupnih virov. Zato ga uporabljajte kot dodatno orodje in ne kot primarni vir.

Veliko močnejši je Zbirka programov Microsoft Sysinternalski vključuje pripomoček, imenovan PsPrijavljenZ njim lahko vidite, kdo je povezan z lokalnim ali oddaljenim sistemom:

• Namestite paket Sysinternals (na primer z Namestitev sistema Winget –sprejmi-paketne-sporazume v sistemu Windows 10 in novejših različicah ali s prenosom z uradnega spletnega mesta).
• Odprite CMD ali PowerShell.
• Izvedi PsLoggedOn \\ImeOddaljeneOpreme.
• Program vam bo prikazal uporabnike, povezane z določenim sistemom.

To orodje je lahko zelo koristno za hitro preverite, kateri računi so v uporabi v danem trenutku, tako lokalno kot na oddaljeni omrežni opremi.

Kako uporabljati pregledovalnik dogodkov za spremljanje oddaljenih prijav

Če želiš iti do konca in Ogled zgodovine dostopov (kdo je vstopil, kdaj in od kod)Pregledovalnik dogodkov sistema Windows je vaš zaveznik. Med drugim beleži varnostne dogodke, povezane s prijavami.

Za pregled teh zapisov na sodobnem računalniku:

• Pritisnite tipko Windows in vtipkajte »Pregledovalnik dogodkov«.
• V drevo na levi vnesite Dnevniki sistema Windows > Varnost.
• Išči dogodke z ID 4624, ki označujejo uspešne prijave; v njih boste videli podrobnosti, kot so uporabnik, domena, vrsta prijave in izvorni računalnik.

Z analizo teh dogodkov lahko zaznavanje urnikov ali izvornih naprav, ki ne ustrezajo vaši običajni uporabiTo pomaga odkriti sumljiv oddaljeni dostop. Na strežnikih RDP so ti dnevniki bistveni za revizijo in rekonstrukcijo dogodkov v primeru incidenta.

Vendar pa je v mnogih primerih za shranjevanje vseh teh informacij Omogočeno morate imeti preverjanje prijave.V nasprotnem primeru Windows teh dogodkov ne bo zabeležil v varnostni dnevnik in ostali boste brez zgodovine.

Aktivacija se izvede iz urejevalnika lokalnih skupinskih pravilnikov (gpedit.msc):

• Odprto gpedit.msc iz menija Start ali pogovornega okna Zaženi.
• Pojdi na Konfiguracija računalnika > Nastavitve sistema Windows > Varnostne nastavitve > Lokalni pravilniki > Pravilnik za nadzor.
• Odprto »Pregled dogodkov prijave« in označite polji Uspeh in Napaka.
• Uporabite spremembe, da bo Windows začel beležiti tako uspešne kot neuspešne prijave.

V starejših različicah, kot je Windows XP, je postopek konceptualno podoben (Pregledovalnik dogodkov, Varnostni dnevnik), čeprav se terminologija in ID-ji dogodkov razlikujejo. V vsakem primeru, Pregled teh dnevnikov vam omogoča, da vidite vse prijave, tako lokalne kot oddaljene namizne računalnike., s podrobnostmi o tem, kateri uporabnik se je overil.

Spremljanje oddaljenega dostopa v strežnikih Windows Server in poslovnih omrežjih

V strežniških okoljih postanejo stvari nekoliko bolj zapletene, vendar v zameno Na voljo imate centralizirana orodja za upravljanje za ogled stanja in dejavnosti oddaljenih odjemalcev.bodisi prek DirectAccess, VPN ali RDP.

V sistemu Windows Server 2012 in novejših različicah vloga oddaljenega dostopa združuje DirectAccess in RAS (VPN). skrbnik strežnika lahko greš k Orodja > Upravljanje oddaljenega dostopa in odprite ustrezno konzolo.

V tej konzoli je razdelek Poročila o oddaljenem dostopuOd tam lahko dostopate do vmesnika »Stanje oddaljenega odjemalca«, kjer je prikazan seznam vseh uporabnikov, ki so povezani s strežnikom za oddaljeni dostop, in podrobna statistika vsake povezave.

Pri izbiri vrstice (določenega uporabnika) V predogledni plošči si lahko ogledate informacije o dejavnosti uporabnikovIP-naslovi, vrsta tunela, strežnik, s katerim je povezan (v primeru gruče), dostopani viri itd. Je zelo zmogljivo orodje za spremljanje v realnem času, kdo je znotraj vašega poslovnega omrežja in kako.

Če imate raje avtomatizacijo, lahko uporabite PowerShell z ukazom »cmdlet« Get-RemoteAccessConnectionStatisticski ponuja enako statistiko v objektni obliki. Filtrirate lahko po uporabniškem imenu, računalniku, vrsti povezave (DirectAccess ali VPN), IP-ju ponudnika internetnih storitev, IP-jih notranjega tunela, tehnologiji prehoda (Teredo, 6to4, IP-HTTPS) ali protokolu VPN (PPTP, L2TP, SSTP, IKEv2) in celo po določenih virih, do katerih so dostopali.

Kaj storiti, če sumite, da nekdo na daljavo dostopa do vašega računalnika brez dovoljenja

Če po pregledu vsega tega dobite vtis, da Nekdo se je brez vašega dovoljenja povezal (ali se povezuje) z vašim računalnikomČas je, da ukrepate hitro in trezno. Prej ko onemogočite dostop, tem bolje.

Prvi korak je izolacija opreme: Takoj ga odklopite z interneta.To lahko storite tako, da odstranite omrežni kabel ali onemogočite Wi-Fi. Na ta način, tudi če vsiljivec ostane overjen, ne bo mogel več pošiljati ukazov ali prejemati podatkov.

Nato je bistveno Zaženite popolno skeniranje s protivirusno programsko opremo. In če je mogoče, uporabite specializirano orodje za boj proti zlonamerni programski opremi, kot je Malwarebytes. Preverite tudi stanje Zaščitni zaslon sistema Windows DefenderPogosto oddaljeni dostop omogoča trojanski konj ali orodje RAT, prikrito kot legitimni program.

Nato ga mirno preglejte. nedavno nameščeni programi in aplikacije, ki se zaženejo skupaj z operacijskim sistemom WindowsV upravitelju opravil si lahko na zavihku »Zagon« ogledate, kaj se naloži ob zagonu sistema, in onemogočite vse, kar ne prepoznate, v nadzorni plošči (ali Nastavitve > Aplikacije) pa odstranite sumljivo programsko opremo.

Če po vsem tem še vedno opazite nenavadno vedenje ali mu še vedno ne zaupate povsem, je najbolj odločilna možnost ponovno namestiti Windows od začetkaRes je, da je to drastičen korak, vendar zagotavlja, da boste odpravili vse sledi trajnega dostopa, zadnjih vrat ali spremenjenih konfiguracij. Vendar pa najprej varnostno kopirajte pomembne podatke in ne obnavljajte sumljivih nastavitev ali programov.

Izboljšajte varnost oddaljenega namizja in oddaljenega dostopa na splošno.

Poleg zaznavanja, kdo vstopi, je idealno Čim bolj okrepite konfiguracijo RDP in oddaljenega dostopa da se zmanjša možnost vdora. To vključuje tako vgrajene varnostne ukrepe sistema Windows kot tudi orodja drugih ponudnikov.

Po eni strani je bistveno, da promet potuje šifrirano na robusten način. Šifriranje od konca do konca zagotavlja, da podatkov, ki potujejo med odjemalcem in strežnikom, ni mogoče enostavno prebrati, če jih kdo prestreže.Nekatere komercialne rešitve za oddaljeni dostop dodajo lastne sloje šifriranja in varne tunele za povečanje zaščite.

Druga pomembna komponenta je avtentikacija: Omogočanje večfaktorske avtentikacije (MFA), kadar koli je to mogoče, poveča varnostTudi če nekdo pridobi geslo, bo še vedno potreboval drugi dejavnik (aplikacijo za preverjanje pristnosti, SMS, fizični ključ itd.), kar močno oteži nepooblaščen dostop.

Poleg tega je priporočljivo uporabiti nekaj osnovnih dobrih praks: Vedno imejte posodobljen operacijski sistem in programsko opremo z najnovejšimi popravkiZa vse račune za oddaljeni dostop uporabljajte močna in edinstvena gesla ter čim bolj omejite, kateri uporabniki se lahko povežejo prek RDP (načelo najmanjših privilegijev).

Prav tako je zelo priporočljiv za poslovna omrežja. omejite dostop RDP samo prek VPN-ja ali na določena območja IP-jevNamesto da bi vrata 3389 izpostavili neposredno internetu, spremljanje poskusov prijave, konfiguriranje opozoril za sumljive dejavnosti in uporaba centraliziranih rešitev za spremljanje pomagajo predvideti težave.

Obstajajo komercialni paketi za oddaljeno upravljanje, ki Ponujajo nadzorne plošče z aktivnimi sejami, opozorili v realnem času, podrobnimi dnevniki povezav, omejitvami dostopa in naprednim upravljanjem uporabnikov.Še posebej so uporabni v podjetjih, ki upravljajo veliko oddaljenih računalnikov ali strežnikov.

Skratka, če združite Nadzor nad tem, kdo ima dovoljenja, spremljanje, kdo se povezuje, redni pregled dnevnikov in robustni varnostni ukrepi (šifriranje, MFA, VPN, močna gesla in posodobljena programska oprema)Veliko težje bo nekomu omogočiti oddaljeno namizje v vašem računalniku in dostopati do njega brez vaše vednosti. In če se vam kadar koli zdi kaj sumljivega, vam bodo ti mehanizmi omogočili hiter odziv in dovolj informacij, da boste razumeli, kaj se je zgodilo.