如何在 Windows PC 上检查远程访问

如何在 Windows PC 上检查远程访问

远程访问恶意软件,包括远程访问木马 (RAT) 和内核级 rootkit,可让恶意攻击者在未经您同意的情况下控制您的系统,从而对您的 Windows PC 造成重大风险。这些威胁的隐秘性使其特别难以检测。如果您怀疑有人未经授权访问您的设备,本指南将帮助您确认任何远程存在并有效消除威胁。

识别远程访问的警告信号

尽管远程访问通常是隐形的,但有几个迹象可能表明存在入侵。虽然这些症状也可能表明存在不相关的问题,但它们的组合可能表明存在远程活动。

  • 鼠标或键盘行为不稳定:如果您发现光标移动不一致或输入了意外的文本,则可能是远程控制软件造成的。这包括光标跳动或自主执行命令等行为。密切监视这些事件至关重要,因为它们可以确认未经授权的访问。
  • 应用程序行为异常:如果应用程序在未经您输入的情况下开始打开和关闭,这可能是一个危险信号。黑客可以远程命令软件执行任务,通常以关键应用程序为目标,以禁用您的安全措施。
  • 检测到新用户帐户:网络犯罪分子通常会在被发现后建立辅助帐户以保持访问权限。检查您的 Windows设置 -> 帐户,查看家庭其他用户部分中是否有任何陌生的条目。
  • 性能下降:系统性能突然下降可能表明正在发生资源密集型远程操作。如果此问题偶尔出现,请密切注意,因为它可能与非法远程访问尝试有关。
  • 未经授权激活远程桌面:由于 Windows 远程桌面本身存在漏洞,黑客经常会在未经用户同意的情况下启用它。在 Windows 设置中导航至系统 -> 远程桌面,确保已将其关闭。
Windows 11 设置中的帐户选项
Windows 设置中已禁用远程桌面

确认电脑上的远程访问

如果您发现任何令人担忧的迹象,那么采取措施确认远程访问的怀疑至关重要。使用内置的 Windows 工具跟踪活动以收集潜在未经授权访问的证据。

利用 Windows 事件查看器

Windows 事件查看器是跟踪用户活动的宝贵资源。它可以揭示未经授权的登录尝试和 RDP(远程桌面协议)登录。首先在 Windows 搜索栏中搜索“事件查看器”。

导航至Windows 日志 -> 安全。按 ID 对事件进行排序,特别关注事件 ID 4624,它表示登录尝试。要特别警惕显示登录类型 10 的事件,因为这些事件表明存在远程登录。

Windows 事件查看器显示事件 ID

另外,检查事件 ID 4778,它提供远程会话重新连接的记录,让您了解活动的网络身份和时间戳。

监控网络流量

跟踪网络流量是检测远程访问的实用方法。利用GlassWire等工具可以帮助识别可疑连接,同时提供针对潜在入侵者的自动防御机制。

在 GlassWire 中,查看GlassWire Protect部分下的活动连接。该应用会标记不可信的连接,帮助您发现任何恶意的远程活动。

主界面中的 Glasswire 评级部分

调查计划任务

攻击者通常会利用任务计划程序在重启后继续保持访问权限。检查此实用程序中安排的未知或可疑任务。在 Windows 搜索中搜索任务计划程序以将其打开,然后导航至任务计划程序(本地)-> 任务计划程序库并仔细检查任何不熟悉的文件夹。

Windows 任务计划程序中的“任务属性”菜单

针对远程访问采取行动

确认未经授权的访问后,立即断开互联网连接。这可以防止进一步的恶意活动,同时实施损害控制措施。使用不同的设备重置重要的帐户密码并备份重要数据。

使用 Microsoft Defender 执行脱机扫描

如果您当前的安全解决方案无法有效抵御 rootkit 等高级威胁,请考虑使用 Microsoft Defender 的离线扫描功能。此方法会在启动时扫描您的 PC,从而提供一个安全的环境来检测持久性恶意软件。

通过搜索“Windows 安全”来启动扫描,导航到病毒和威胁防护->扫描选项,然后选择Microsoft Defender 防病毒软件(离线扫描)并点击立即扫描

运行 Windows Defender 脱机扫描

删除可疑程序

无论扫描结果如何,都要对不熟悉的应用程序进行手动检查。转到“设置”->“应用程序”->“已安装的应用程序”以识别任何可疑软件。删除可能在您不知情的情况下被入侵或安装的应用程序(如 TeamViewer、AnyDesk 和 Chrome 远程桌面)。

配置防火墙设置

为防止未经授权的远程访问,请在防火墙设置中阻止常见的入站远程访问端口。如果您不使用这些服务,此操作至关重要。

通过在 Windows 搜索中搜索,打开高级安全 Windows Defender 防火墙。选择入站规则 -> 新规则,选择端口,然后选择下一步。指定 TCP 并列出需要阻止的以下端口:

  • 3389(Windows 远程桌面)
  • 5900(虚拟网络计算)
  • 5938(TeamViewer)
  • 6568 (任何桌面)
  • 8200(转到我的电脑)
在 Windows 防火墙中创建入站规则

考虑全新安装 Windows

如果其他补救措施无效,可能需要全新安装 Windows。此方法可大幅降低恶意软件残留的可能性,但需要完整数据备份,因为此过程会清除 PC 上的所有数据。

当遇到潜在的未经授权的访问时,无论是远程还是本地,果断采取行动至关重要。预防策略和使用强大的 Windows 安全选项是抵御未来威胁的最佳防御措施。

图片来源:Vecteezy。所有截图均由 Karrar Haider 提供。

常见问题

1.如何知道是否有人远程访问我的电脑?

查找异常迹象,例如光标移动不稳定、未知程序打开或关闭以及设置中出现新用户帐户。监控网络流量并检查 Windows 事件查看器可以确认任何未经授权的活动。

2.如果我发现我的电脑被远程访问的证据,我该怎么办?

立即断开互联网连接,以阻止进一步的未经授权的活动。然后,重置重要帐户的密码,使用安全工具扫描系统,并检查可疑程序或网络流量。

3.是否需要全新安装 Windows?

如果所有其他方法都失败了,或者您想确保完全删除任何恶意软件,则应考虑全新安装。在继续此方法之前,请务必备份您的数据,因为它会从您的设备中删除所有内容。

来源和图片

相关文章:

玛吉·吉伦哈尔在 CinemaCon 上透露《新娘》:一场流行、大胆、激进的电影体验
探索 iOS 18.4 中环境音乐的魅力:一项你从未意识到自己需要的功能

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注