Salve a tutti,

ho un pc con Windows 7 ultimate 64 bit.

E' abilitato il servizio desktop remoto sulla porta standard.

Durante la notte noto che ci sono dei tentativi di connessioni in entrata proveniente da un ip (visualizzato in chiaro sul registro del terminalservices) che prova ad accedere loggandosi con diversi username ripetutamente tra cui:
administrator admin user user1 test user2 test1 user3 admin1 user4 user5 actuser admin2 adm test2 test3 server 1 guest aspnet sys support console 123 root backup david sql a john support_388945a0 owner

il tutto eseguito in trenta minuti durante la notte.

Cosa può essere ?!? Scansione di un bot ?!?

C'è modo di prevenirla ?!? Può causare danni ?!?

Eventuali contromisure da adottare ?!?

Grazie.

Esattamente.

Comunque guardando questo articolo (https://turbolab.it/controllo-remoto-270/come-proteggere-pc-desktop-remoto-guida-definitiva-mettere-sicurezza-ban-anti-brute-force-firewall-whitelist-ip-anti-keylogger-windows-10-windows-8-windows-7-780) ho notato che c'è la possibilità di impostare la porta standard 3389 come stealth impostando delle limitazioni nel firewall di Windows ovvero permettere la connessione a desktop remoto solo ad alcuni ip ( ma ciò implica avere un ip statico) oppure indicare solo i nomi pc che possono collegarsi in desktop remoto.
Fatte queste modifiche effettivamente la porta scansionandola risulta stealth.

Il problema è che provando ad inserire ad esempio un ip interno alla lan ad esempio 192.168.0.3 come il solo che possa connettersi al server remoto non funziona e non riesco più a connettermi.

Altrimenti una soluzione potrebbe essere impostare la porta come stealth ?!?

Grazie.

In che modo è possibile settare una porta come stealth ?!?