查詢和修改RDP狀態(tài)

1、通過查詢注冊(cè)表,判斷RDP是否開啟

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

• 如果fDenyTSConnections項(xiàng)的值為0，則表明已啟用RDP
• 如果fDenyTSConnections項(xiàng)的值為1，則表明已禁用RDP

?2、使用CheckRdpStatus.ps1腳本查詢RDP的狀態(tài)

3、使用命令開啟、關(guān)閉RDP狀態(tài)，可能會(huì)被殺軟攔截，使用時(shí)需要注意

#開啟RDP服務(wù) reg add "hklm\system\CurrentControlSet\Control\Terminal server" /v fDenyTSConnections /t reg_dword /d 00000000 /f#關(guān)閉RDP服務(wù) reg add "hklm\system\CurrentControlSet\control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 00000001 /f

4、也可以使用RegfDenyTSConnections.ps1腳本開啟或關(guān)閉RDP狀態(tài)

查看RDP開放端口

RDP的默認(rèn)端口可能會(huì)被修改，可以通過以下命令進(jìn)行查詢

tasklist /svc | findstr TermService #查找RDP進(jìn)程的PID netstat -ano | findstr 上一步查詢到的PID #查找出對(duì)應(yīng)的端口

RDP登錄成功歷史日志

這里登錄成功是指其他機(jī)器登錄該機(jī)器成功登錄的日志

管理工具->事件查看器->Windows日志->安全

事件ID是4624的就是登錄成功的日志

?可以通過以下命令查詢

wevtutil qe security /q:"Event[System[(EventID=4624)]]" /f:text /rd:true /c:5 > EvtLogon.dat

也可以通過EventLogSuccess.ps1腳本查詢

RDP登錄失敗歷史記錄

登錄失敗是指其他機(jī)器嘗試RDP登錄該機(jī)器，登錄失敗的日志

事件ID為4625是登錄失敗的日志

可以使用EventLogFailed.ps1腳本進(jìn)行查詢，當(dāng)同一時(shí)刻，有很多登錄失敗的日志，說明存在爆破RDP的情況

---

加油

: )

總結(jié)

以上是生活随笔為你收集整理的RDP 总结（一）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。