Algunos usuarios han iniciado sesión en un servidor a través de RDP.
Me gustaría monitorear la actividad , pero no conozco bien el camino de Windows Server.
Espero que haya registros de algún tipo que pueda consultar.
¿Algunas ideas? :)
Algunos usuarios han iniciado sesión en un servidor a través de RDP.
Me gustaría monitorear la actividad , pero no conozco bien el camino de Windows Server.
Espero que haya registros de algún tipo que pueda consultar.
¿Algunas ideas? :)
Respuestas:
Algunas opciones ...
eventvwr.msc)Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManagerAdminoOperationalVerá la lista de sesiones. Fecha / Hora / IP / Nombre de usuario, etc. También puede buscar enApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
Aquí hay una solución en PowerShell:
Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
(new-object -Type PSObject -Property @{
TimeGenerated = $_.TimeGenerated
ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
switch ($_.LogonType) {
2 {'Interactive (logon at keyboard and screen of system)'}
3 {'Network (i.e. connection to shared folder)'}
4 {'Batch (i.e. scheduled task)'}
5 {'Service (i.e. service start)'}
7 {'Unlock (i.e. post screensaver)'}
8 {'NetworkCleartext (i.e. IIS)'}
9 {'NewCredentials (i.e. local impersonation process under existing connection)'}
10 {'RemoteInteractive (i.e. RDP)'}
11 {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}
default {"LogType Not Recognised: $($_.LogonType)"}
}
}}
La información sobre los EventIds relacionados en los que estamos filtrando se puede encontrar aquí:
Para conexiones RDP, está específicamente interesado en LogType 10; Remoto interactivo; aquí no he filtrado en caso de que los otros tipos sean de utilidad; pero es trivial agregar otro filtro si es necesario.
También deberá asegurarse de que se creen estos registros; Para hacer eso:
Start Control PanelAdministrative ToolsLocal Security PolicySecurity Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/LogoffAudit LogonaSuccessAdemás de revisar los registros de eventos, buscar Logon Type 10 (Escritorio remoto) en el Registro de seguridad o mirar los registros de eventos del canal TerminalServices, necesitará usar software de terceros.
Además de TSL mencionado anteriormente, aquí hay otro que he usado con éxito en el pasado: Remote Desktop Reporter
http://www.rdpsoft.com/products
Si va a un tercero, asegúrese de evaluar varios y obtener cotizaciones de precios de cada proveedor ... hay una gran discrepancia en el precio: algunos precios de los proveedores por usuario nombrado, algunos por usuario concurrente y algunos simplemente por servidor. Asegúrese también de que la solución viene con su propia base de datos o una versión lite de SQL; de lo contrario, también se verá afectado por los costos de la licencia de la base de datos.
He revisado la mayoría de las respuestas gratuitas / asequibles en esta página, así como también he buscado en otro lugar (durante días, incluida la lectura de los registros de eventos mencionados por Andy Bichler) y aquí hay una herramienta alternativa alternativa de monitoreo y bloqueo de RDP:
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
No lo he probado exhaustivamente, pero lo descargué y escaneé (la versión portátil) y, aunque la interfaz de usuario es un poco fea, funciona hasta ahora en un servidor 2012 R2 sin problemas. Es "práctico", pero también es obvio y supera descifrar los registros de eventos.
También hay ts_block que le permite bloquear automáticamente las direcciones IP que son brutas forzando el RDP de su servidor (que supongo que tendría algún registro de intentos de RDP):
https://github.com/EvanAnderson/ts_block
Como puede ver en ese enlace, el autor es un usuario predeterminado del servidor. No lo he probado, ya que es básicamente un vbscript que necesitaría diseccionar antes de usar. Pero, parece prometedor.
El problema con los registros de eventos mencionados por Andy anteriormente es que no son muy claros o descriptivos sobre quién está haciendo qué ... al menos en un sentido malicioso. Puede encontrar direcciones IP, pero es difícil saber si están relacionadas con todos los intentos fallidos de inicio de sesión. Por lo tanto, otra herramienta que no sean los registros inherentes parece casi obligatoria si su servidor está conectado a Internet y tiene alguna preocupación sobre la seguridad.
en el registro de eventos -
Registros de aplicaciones y servicios \ Microsoft \ Windows \ remote desktop services-rdpcorets
hay todos los intentos de conectarse a rdp y la dirección ip
Hace unos años, cuando trabajaba como administrador, tuve un problema como el tuyo ahora, quería monitorear a todos los que se conectan a través del RDP y exactamente cuándo y si estaban activos o inactivos.
He evaluado algunos productos, pero decidí que ninguno de ellos es lo suficientemente bueno para mí, así que construí el mío (el problema era que todos tenían algún tipo de agente o servicio para recopilar los datos, y la solución que construí es usar la API de TS para servidor remoto y extraer los datos sin ningún agente). El producto se llama ahora syskit (o TSL como mencionó Jim) y se usa ampliamente en todo el mundo: D
Puedes consultar las actividades del usuario aquí