Einige Benutzer haben sich über RDP bei einem Server angemeldet.
Ich möchte die Aktivität überwachen , kenne mich aber mit Windows Server nicht so gut aus.
Ich hoffe, es gibt Protokolle, die ich einsehen kann.
Irgendwelche Ideen? :)
Einige Benutzer haben sich über RDP bei einem Server angemeldet.
Ich möchte die Aktivität überwachen , kenne mich aber mit Windows Server nicht so gut aus.
Ich hoffe, es gibt Protokolle, die ich einsehen kann.
Irgendwelche Ideen? :)
Antworten:
Ein paar Möglichkeiten ..
eventvwr.msc
)Applications and Services Logs
-> Microsoft
-> Windows
->TerminalServices-LocalSessionManager
Admin
oderOperational
Sie sehen die Sitzungsliste. Datum / Zeitstempel / IP / Benutzername usw. Sie können auch unter suchenApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
Hier ist eine Lösung in PowerShell:
Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
(new-object -Type PSObject -Property @{
TimeGenerated = $_.TimeGenerated
ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
switch ($_.LogonType) {
2 {'Interactive (logon at keyboard and screen of system)'}
3 {'Network (i.e. connection to shared folder)'}
4 {'Batch (i.e. scheduled task)'}
5 {'Service (i.e. service start)'}
7 {'Unlock (i.e. post screensaver)'}
8 {'NetworkCleartext (i.e. IIS)'}
9 {'NewCredentials (i.e. local impersonation process under existing connection)'}
10 {'RemoteInteractive (i.e. RDP)'}
11 {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}
default {"LogType Not Recognised: $($_.LogonType)"}
}
}}
Informationen zu den zugehörigen EventIds, nach denen wir filtern, finden Sie hier:
Für RDP-Verbindungen interessieren Sie sich speziell für LogType 10. RemoteInteractive; hier habe ich nicht gefiltert, falls die anderen Arten von Nutzen sind; Es ist jedoch trivial, bei Bedarf einen weiteren Filter hinzuzufügen.
Sie müssen auch sicherstellen, dass diese Protokolle erstellt werden. das zu tun:
Start
Control Panel
Administrative Tools
Local Security Policy
Security Settings
> Advanced Audit Policy Configuration
> System Audit Policies - Local Group Policy Object
>Logon/Logoff
Audit Logon
zuSuccess
Abgesehen vom Durchsuchen der Ereignisprotokolle, Suchen nach Anmeldetyp 10 (Remotedesktop) im Sicherheitsprotokoll oder Anzeigen der Ereignisprotokolle des TerminalServices-Kanals müssen Sie Software von Drittanbietern verwenden.
Zusätzlich zu der oben erwähnten TSL habe ich noch eine andere mit Erfolg verwendet: Remote Desktop Reporter
http://www.rdpsoft.com/products
Wenn Sie sich an Dritte wenden, stellen Sie sicher, dass Sie mehrere Anbieter bewerten und Preisangebote von jedem Anbieter erhalten ... es gibt eine enorme Preisdifferenz - einige Anbieterpreise pro benanntem Benutzer, einige pro gleichzeitigem Benutzer und einige einfach nach Server. Stellen Sie außerdem sicher, dass die Lösung über eine eigene Datenbank oder eine Lite-Version von SQL verfügt.
Sie können jedes Benutzerkonto in AD so einrichten, dass die Remotesteuerung die Sitzung eines Benutzers anzeigt oder mit ihr interagiert, indem Sie im Task-Manager auf die Registerkarte Benutzer klicken, mit der rechten Maustaste klicken und "Remotesteuerung" auswählen. Sie können dann ihre Sitzung anzeigen.
Ich habe die meisten kostenlosen / erschwinglichen Antworten auf dieser Seite durchgesehen und auch an anderer Stelle gesucht (tagelang, einschließlich des Lesens der von Andy Bichler erwähnten Ereignisprotokolle).
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
Ich habe es nicht ausgiebig getestet, aber es heruntergeladen und gescannt (die portable Version) und obwohl die Benutzeroberfläche ein bisschen hässlich ist, funktioniert es auf einem 2012 R2-Server bisher ohne Probleme. Es ist "hands on", aber auch ein Kinderspiel und schlägt das Entschlüsseln der Ereignisprotokolle.
Es gibt auch ts_block, mit dem Sie IPs automatisch blockieren können, die das RDP Ihres Servers brutal erzwingen (was vermutlich einige RDP-Versuche protokollieren würde):
https://github.com/EvanAnderson/ts_block
Wie Sie in diesem Link sehen können, ist der Autor ein Serverfehlerbenutzer. Ich habe es nicht getestet, da es im Grunde genommen ein vbscript ist, das ich vor der Verwendung sezieren müsste. Aber es scheint vielversprechend.
Das Problem mit den von Andy oben erwähnten Ereignisprotokollen ist, dass sie nicht sehr klar oder beschreibend sind, wer was tut ... zumindest in böswilliger Hinsicht. Sie können IP-Adressen finden, aber dann ist es schwer zu sagen, ob sie mit allen fehlgeschlagenen Anmeldeversuchen zusammenhängen. Daher scheint ein anderes Tool als die inhärenten Protokolle fast obligatorisch zu sein, wenn Ihr Server mit dem Internet verbunden ist und Sie Bedenken hinsichtlich der Sicherheit haben.
im Eventlog -
Anwendungs - und Dienstprotokolle \ Microsoft \ Windows \ remote desktop services-rdpcorets
es gibt alle versuche, eine verbindung zu rdp und der ip-adresse herzustellen
Als ich vor ein paar Jahren als Administrator gearbeitet habe, hatte ich Probleme wie Sie. Ich wollte alle überwachen, die über das RDP eine Verbindung herstellen, und genau, wann und ob sie aktiv oder inaktiv sind.
Ich habe nur wenige Produkte evaluiert, bin jedoch zu dem Schluss gekommen, dass keines für mich gut genug ist, sodass ich mein eigenes Produkt erstellt habe (das Problem bestand darin, dass jeder eine Art Agent oder Service zum Erfassen der Daten hatte und die von mir erstellte Lösung die Verwendung der TS-API für Remotezugriffe ist Remote-Server und extrahieren Sie die Daten ohne Agent). Das Produkt heißt jetzt syskit (oder TSL wie Jim erwähnt) und wird auf der ganzen Welt verwendet: D
Sie können Benutzeraktivitäten überprüfen hier