it-swarm.com.de

Wie kann ich die IP-Adresse eines Remotedesktop-Clients abrufen? Und wie kann ich bei einer RDP-Verbindung einen Shell-Befehl auslösen?

Gibt es eine Möglichkeit, die IP-Adresse eines Remotedesktopclients mithilfe von PowerShell (oder einer anderen Methode) auf dem Server zu ermitteln? (Windows Server 2008 R2 x64 ist das, was ich verwende)

BEARBEITEN: Ich finde, dass ich netstats stdout grep kann, um diese Informationen abzurufen, was sehr machbar ist. Wie kann ich also ein Skript/einen Shell-Befehl auslösen, wenn ein Client eine Verbindung herstellt?

23
chaz

Okay, ich habe herausgefunden, dass die task scheduler Die mit Windows gelieferte Anwendung kann so konfiguriert werden, dass ich ein Batch-Skript ausführen kann, das ausgelöst wird, wenn ein Ereignis im Ereignisprotokoll generiert wird. Über die Benutzeroberfläche wählen Sie den Ereignistyp, die Ereignisquelle und die Ereignis-ID aus. In diesem Fall habe ich 4264 verwendet (und yes erfasst alle Anmeldetypen). Hier habe ich stattdessen ein einfaches Batch-Skript verwendet:

SET logfile="rdp_ip_logs.log"
date /T>>%logfile%
time /T>>%logfile%
netstat -n | find ":3389" | find "ESTABLISHED">>%logfile%

Außerdem habe ich ein sehr nützliches Beispiel zum Abonnieren/Abhören von Ereignisschreibvorgängen in .NET gefunden: http://msdn.Microsoft.com/en-us/library/bb552514 (v = vs.90) .aspx Ich werde das stattdessen verwenden, um bestimmte Ereignisse zur webbasierten Prüfung in eine Datenbank zu schreiben.

Der einzige Nachteil dieser Lösung besteht darin, dass Sie bei aktivierten Remotedesktopdiensten und mehreren verbundenen Personen in der netstat-Ausgabe nicht zwischen diesen unterscheiden können.

12
chaz

Über eine Eingabeaufforderung können Sie den folgenden Befehl ausführen, um eine Liste der Remote-IPs abzurufen, die mit RDP verbunden sind (Port 3389).

netstat -n | find ":3389" | find "ESTABLISHED"

Ich bin mir sicher, dass dies in Powershell (oder auch nur in einer einfachen alten Batch-Datei) geschrieben werden kann. Ich kann morgen ein Beispiel geben, wenn Sie interessiert sind.

22
John Homer

Wenn Sie kein Skript benötigen, können Sie im Sicherheitsereignisprotokoll nach der Ereignis-ID 4624 suchen. Es wird eine Zeile angezeigt:

Quellnetzwerkadresse: 192.168.xxx.xxx

5
Tamerz