RDP deaktiviert, protokolliert jedoch weiterhin erfolgreiche Verbindungen für deaktivierte Konten

Da ich wegen nicht autorisierter RDP-Verbindungen auf meinem Computer misstrauisch war, habe ich den RDP-Dienst deaktiviert, um sicherzustellen, dass niemand mehr auf meinen Computer zugreifen kann.

Danach überprüfte ich die Protokolle Microsoft\TerminalServices-LocalSessionManager\Operationalund Microsoft\TerminalServices-RemoteConnectionManager\Operational.

In Microsoft\TerminalServices-LocalSessionManager\Operationalerhielt RDP weiterhin erfolgreiche Verbindungen zu meinem persönlichen Konto, auch wenn RDP deaktiviert war. Tatsächlich hat es immer erfolgreiche Verbindungen zu meinem eigenen Konto erhalten, aber ich habe noch nie erfahren, dass ich abgemeldet bin. Beispiel:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microsoft-Windows-TerminalServices-LocalSessionManager" Guid="" />  <EventID>21</EventID>  <Version>0</Version>  <Level>4</Level>  <Task>0</Task>  <Opcode>0</Opcode>  <Keywords>0x1000000000000000</Keywords>  <TimeCreated SystemTime="2014-02-03T14:38:48.587069400Z" />  <EventRecordID>3186</EventRecordID>  <Correlation />  <Execution ProcessID="644" ThreadID="980" />  <Channel>Microsoft-Windows-TerminalServices-LocalSessionManager/Operational</Channel>  <Computer>MyComputer</Computer>  <Security UserID="XXXXXXXX" />  </System> - <UserData> - <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS"> <User>MyComputer\MyUser</User>  <SessionID>1</SessionID>  <Address>LOCAL</Address>  </EventXML> </UserData> </Event> 

Und trotzdem ist RDP deaktiviert und ich bin zu keinem Zeitpunkt abgemeldet worden.

In Microsoft\TerminalServices-RemoteConnectionManager\Operationali viele Benutzer authentifiziert sah, wie administratorKonto, das deaktiviert ist, und ein Konto mit dem Namen john(und es gibt keine solche Benutzer auf meinem Computer registriert). Beispiel:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microsoft-Windows-TerminalServices-RemoteConnectionManager" Guid="" />  <EventID>1149</EventID>  <Version>0</Version>  <Level>4</Level>  <Task>0</Task>  <Opcode>0</Opcode>  <Keywords>0x1000000000000000</Keywords>  <TimeCreated SystemTime="2014-02-02T22:29:49.155951400Z" />  <EventRecordID>55095</EventRecordID>  <Correlation />  <Execution ProcessID="456" ThreadID="5220" />  <Channel>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</Channel>  <Computer>MyComputer</Computer>  <Security UserID="XXXXXX" />  </System> - <UserData> - <EventXML xmlns:auto-ns2="http://schemas.microsoft.com/win/2004/08/events" xmlns="Event_NS"> <Param1>administrator</Param1>  <Param2 />  <Param3>aaa.bbb.ccc.ddd</Param3>  </EventXML> </UserData> </Event> 

Dieser Datensatz wurde als erfolgreich protokolliert, obwohl administratordeaktiviert ist.

Wie schlimm ist das? ?