alcuni utenti hanno effettuato l'accesso a un server tramite RDP.
Vorrei monitorare l'attività , ma non conosco bene Windows Server.
Spero che ci siano registri di qualche tipo che posso consultare.
Qualche idea? :)
alcuni utenti hanno effettuato l'accesso a un server tramite RDP.
Vorrei monitorare l'attività , ma non conosco bene Windows Server.
Spero che ci siano registri di qualche tipo che posso consultare.
Qualche idea? :)
Risposte:
Alcune opzioni
eventvwr.msc)Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManagerAdminoOperationalVedrai l'elenco delle sessioni. Data / Data / IP / Nome utente ecc. È anche possibile cercare sottoApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
Ecco una soluzione in PowerShell:
Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
(new-object -Type PSObject -Property @{
TimeGenerated = $_.TimeGenerated
ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
switch ($_.LogonType) {
2 {'Interactive (logon at keyboard and screen of system)'}
3 {'Network (i.e. connection to shared folder)'}
4 {'Batch (i.e. scheduled task)'}
5 {'Service (i.e. service start)'}
7 {'Unlock (i.e. post screensaver)'}
8 {'NetworkCleartext (i.e. IIS)'}
9 {'NewCredentials (i.e. local impersonation process under existing connection)'}
10 {'RemoteInteractive (i.e. RDP)'}
11 {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}
default {"LogType Not Recognised: $($_.LogonType)"}
}
}}
Le informazioni sugli EventId correlati su cui stiamo filtrando sono disponibili qui:
Per le connessioni RDP sei particolarmente interessato a LogType 10; RemoteInteractive; qui non ho filtrato nel caso in cui gli altri tipi siano utili; ma è banale aggiungere un altro filtro, se necessario.
Dovrai anche assicurarti che questi log vengano creati; fare quello:
Start Control PanelAdministrative ToolsLocal Security PolicySecurity Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/LogoffAudit LogonaSuccessOltre a consultare i log degli eventi, cercare Logon Type 10 (Desktop remoto) nel Log di sicurezza o guardare i log degli eventi del canale TerminalServices, è necessario utilizzare software di terze parti.
Oltre a TSL menzionato sopra, eccone un altro che ho usato con successo in passato: Remote Desktop Reporter
http://www.rdpsoft.com/products
Se vai a terzi, assicurati di valutarne diversi e ottenere preventivi da ciascun fornitore ... c'è un'enorme discrepanza nel prezzo: alcuni prezzi dei fornitori per utente nominato, altri per utente concorrente e altri semplicemente per server. Assicurati anche che la soluzione sia dotata di un proprio database o di una versione lite di SQL, altrimenti verrai colpito anche dai costi di licenza del database.
È possibile impostare qualsiasi account utente in AD per il controllo remoto per visualizzare o interagire con la sessione di un utente accedendo alla scheda Utenti in Task Manager, facendo clic con il tasto destro del mouse e selezionando "Controllo remoto". È quindi possibile visualizzare la loro sessione.
Ho esaminato la maggior parte delle risposte gratuite / convenienti in questa pagina e ho cercato altrove (per giorni, compresa la lettura dei registri degli eventi menzionati da Andy Bichler) ed ecco uno strumento alternativo gratuito di monitoraggio e blocco RDP:
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
Non l'ho testato ampiamente, ma l'ho scaricato e scansionato (la versione portatile) e sebbene l'interfaccia utente sia un po 'brutta, sta funzionando su un server 2012 R2 senza problemi finora. È "pratico", ma anche un gioco da ragazzi e batte decifrando i registri degli eventi.
C'è anche ts_block che ti consente di bloccare automaticamente gli IP che sono brutali forzando l'RDP del tuo server (che suppongo avrebbe un registro dei tentativi RDP):
https://github.com/EvanAnderson/ts_block
Come puoi vedere in quel link, l'autore è un utente serverfault. Non l'ho testato in quanto è fondamentalmente un vbscript che avrei bisogno di sezionare prima di utilizzare. Ma sembra promettente.
Il problema con i registri degli eventi menzionati da Andy sopra è che non sono molto chiari o descrittivi su chi sta facendo cosa ... almeno in senso malizioso. È possibile trovare gli indirizzi IP, ma è difficile stabilire se sono correlati a tutti i tentativi di accesso non riusciti. Quindi, un altro strumento diverso dai registri inerenti sembra quasi obbligatorio se il tuo server è di fronte a Internet e hai dubbi sulla sicurezza.
nel registro eventi -
Registri applicazioni e servizi \ Microsoft \ Windows \ remote desktop services-rdpcorets
ci sono tutti i tentativi di connettersi a RDP e all'indirizzo IP
Quando qualche anno fa lavoravo come amministratore, ho avuto problemi come te adesso, volevo monitorare tutti coloro che si connettevano tramite RDP ed esattamente quando e se erano attivi o inattivi.
Ho valutato pochi prodotti, ma ho deciso che nessuno di questi è abbastanza buono per me, quindi ho creato il mio (il problema era che ogni tipo aveva un agente o un servizio per raccogliere i dati e la soluzione che ho creato sta usando TS API per remotamente server remoto ed estrarre i dati senza alcun agente). Il prodotto si chiama ora syskit (o TSL come menzionato da Jim) ed è ampiamente utilizzato in tutto il mondo: D
Puoi controllare le attività dell'utente qui