遠端桌面連線記錄

要如何查遠端桌面連線的被連線端的記錄呢？
(A) Windows 7 內建的事件檢視器就有一些記錄可看
(B) 另外安裝防火牆軟體 COMODO 也可以有連線記錄

(A) Win7 在"電腦"右鍵"管理"->事件檢視器->Windows記錄->安全性
(B) COMODO www.comodo.com 在官網下載，有提供社群翻譯的正體中文介面

Windows 7 系統的安全性記錄只會記錄遠端桌面登入成功的事件
包含連線者IP、port以及 該電腦的名稱
不會記錄登入失敗、建立連線但不登入 這兩種情況

COMODO 防火牆
只能記錄嘗試建立連線的遠端連線者IP、port
無法得知登入成功或失敗
一個觀察到的情況是，假設一開始用port 64466建立連線
在輸入錯誤的帳號密碼之後系統會換個port 64467(通常是原port+1)再連線，若密碼錯誤，再換port 64468... 以此類推。
而遠端桌面登入成功系統也會換個port 64467(通常是原port+1)繼續連線，所以登入成功時， COMODO 至少會有兩筆記錄，而 Windows 安全性記錄內的port也是第二個port 64467。

以下簡單說一下我使用的 COMODO 防火牆設定

如同上圖，我把遠端桌面被連線端用的 svchost 設定四條規則：
第一條是封鎖來源連接埠 4445和6000 的連線請求。因為很多筆記錄的攻擊者都使用這兩個port，也許是攻擊軟體的預設連接埠。順帶一提，攻擊者雖然IP不固定，但大部分都是使用簡體中文的作業系統
第二條是允許遠端桌面連線進入這臺電腦，並且記錄下來
第三條是允許連出，不記錄
第四條是封鎖其他沒有列在以上三條的連入請求，並且記錄下來

第一條和第二條是我手動新增的規則，可以去規則集設定
左側的規則集內建"允許的應用程式"、"只允許連出"
左側的網路區域可以擋 IP，禁止連入連出的對象為該 IP
至於 Defense+ 內的 HIPS 我不太熟悉，以下單單說明如何設定才不會因為信任的程式運作產生一堆記錄：

此例是當執行 Process Explorer 時，會產生 Process Explorer 對 COMODO 相關程式存取記憶體但被封鎖的記錄。原因是 COMODO 有預設自我保護的設定，解決辦法如圖所示，在 HIPS 規則內的 COMODO 的規則按右鍵編輯，保護設定->處理程序之間記憶體存取->排除修改->增加 Process Explorer 存放的檔案路徑->完成

如果防火牆記錄有大量同一個不明IP一直在與你的電腦 TCP 3389 建立新的連線，那就代表他在嘗試遠端登入你的電腦，可以考慮把他的IP擋掉。
話說回來，COMODO 被連線的記錄也不是很重要，只要沒有登入成功的 Windows 安全性記錄，似乎就夠了