3
HYPER-V-II unter W2K8R2 - fremder RDP-Zugriff?
Hallo.
Ich betreibe einen HYPER-V-II-Server unter W2K8R2SPx64.
Obwohl die Hardware bei weitem nicht ausgelastet sein dürfte, schaue ich ab und zu doch mal in den Ressourcenmonitor.
Dort habe ich heute bei den Netzwerkaktivitäten einen RDP-Zugriff von einem Client entdeckt, der da nicht hingehört ("svchost.exe", termsvcs). Der Client ist der Rechner einer Kollegin in der Personalabteilung. Bin natürlich sofort hingerannt und habe die Dame (vorsichtig) befragt, ob sie versucht, per RDP auf den Hypervisor zuzugreifen. Ich hätte auch Suaheli mit ihr sprechen können, sie wußte überhaupt nicht, was ich meine. Und ich traue ihr auch gar nicht zu, daß sie weiß, was RDP ist bzw. daß es das überhaupt gibt. Natürlich war auch kein RDP-Client geöffnet und auch kein dementsprechender Prozeß zu entdecken.
Nach Rückkehr in mein Büro habe ich sofort wieder in den Ressourcenmonitor geschaut, natürlich war der Zugriff noch da.
Weiß jemand evtl, was da dahinterstecken könnte? Die Herren Bing und Google boten nur Suchergebnisse, die das gleiche Verhalten beschrieben, aber von einem Rechner mit völlig fremder IP-Adresse. Dort ist man von einem Angriff ausgegangen und hat empfohlen, die lokale Firewall (ist bei uns an allen Domänenrechnern und -Servern per GPO auf Domänenebene deaktiviert) so zu konfigurieren, daß nur festgelegte IP-Adressen per RDP zugreifen können. Ich glaube aber nicht, daß ich solch ein Problem habe, wie gesagt, der zugreifende Rechner ist mir bekannt, und der tut aber nichts in dieser Hinsicht. Mein eigener RDP-Zugriff ist natürlich auch dort gelistet, aber extra.
Vielen Dank schonmal.
Viele Grüße
von
departure
Ich betreibe einen HYPER-V-II-Server unter W2K8R2SPx64.
Obwohl die Hardware bei weitem nicht ausgelastet sein dürfte, schaue ich ab und zu doch mal in den Ressourcenmonitor.
Dort habe ich heute bei den Netzwerkaktivitäten einen RDP-Zugriff von einem Client entdeckt, der da nicht hingehört ("svchost.exe", termsvcs). Der Client ist der Rechner einer Kollegin in der Personalabteilung. Bin natürlich sofort hingerannt und habe die Dame (vorsichtig) befragt, ob sie versucht, per RDP auf den Hypervisor zuzugreifen. Ich hätte auch Suaheli mit ihr sprechen können, sie wußte überhaupt nicht, was ich meine. Und ich traue ihr auch gar nicht zu, daß sie weiß, was RDP ist bzw. daß es das überhaupt gibt. Natürlich war auch kein RDP-Client geöffnet und auch kein dementsprechender Prozeß zu entdecken.
Nach Rückkehr in mein Büro habe ich sofort wieder in den Ressourcenmonitor geschaut, natürlich war der Zugriff noch da.
Weiß jemand evtl, was da dahinterstecken könnte? Die Herren Bing und Google boten nur Suchergebnisse, die das gleiche Verhalten beschrieben, aber von einem Rechner mit völlig fremder IP-Adresse. Dort ist man von einem Angriff ausgegangen und hat empfohlen, die lokale Firewall (ist bei uns an allen Domänenrechnern und -Servern per GPO auf Domänenebene deaktiviert) so zu konfigurieren, daß nur festgelegte IP-Adressen per RDP zugreifen können. Ich glaube aber nicht, daß ich solch ein Problem habe, wie gesagt, der zugreifende Rechner ist mir bekannt, und der tut aber nichts in dieser Hinsicht. Mein eigener RDP-Zugriff ist natürlich auch dort gelistet, aber extra.
Vielen Dank schonmal.
Viele Grüße
von
departure
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 226087
Url: https://administrator.de/forum/hyper-v-ii-unter-w2k8r2-fremder-rdp-zugriff-226087.html
Ausgedruckt am: 08.04.2025 um 11:04 Uhr
3 Kommentare
Neuester Kommentar
Hi.
Kannst Du noch mal genauer darstellen, was Du da siehst? svchost.exe ist ja kein Prozess, den sie dort starten kann.
Kannst Du noch mal genauer darstellen, was Du da siehst? svchost.exe ist ja kein Prozess, den sie dort starten kann.
Hallo.
Danke für Deine Antwort.
"svchost.exe" ist in der Tat ein lokaler Prozeß, der nicht von remote auf dem Host angestartet werden kann, jedoch trägt er hier in Klammern den Zusatz "termsvcs", und das ist eindeutig RDP, und zwar der Zugriff von außen auf den Host. Hab' das nochmal mit TCPVIEW von Sysinternals gegengeprüft, da steht das ganz genauso drin wie in den Netzwerkaktivitäten des Ressourcenmonitors.
Entweder führt der Rechner, der da zugreift, ein merkwürdiges, nicht erklärbares Eigenleben, oder die Einträge sind falsch, wie und warum auch immer.
Grüße
Danke für Deine Antwort.
"svchost.exe" ist in der Tat ein lokaler Prozeß, der nicht von remote auf dem Host angestartet werden kann, jedoch trägt er hier in Klammern den Zusatz "termsvcs", und das ist eindeutig RDP, und zwar der Zugriff von außen auf den Host. Hab' das nochmal mit TCPVIEW von Sysinternals gegengeprüft, da steht das ganz genauso drin wie in den Netzwerkaktivitäten des Ressourcenmonitors.
Entweder führt der Rechner, der da zugreift, ein merkwürdiges, nicht erklärbares Eigenleben, oder die Einträge sind falsch, wie und warum auch immer.
Grüße
Kannst Du mal einen Screenshot hochladen?
