it-swarm.com.de

Gibt es RDP-Aktivitätsprotokolle? - Windows Server 2008 R2

Einige Benutzer haben sich über RDP bei einem Server angemeldet.

Ich möchte die Aktivität überwachen, kenne mich aber mit Windows Server nicht so gut aus.

Ich hoffe, dass es Protokolle gibt, die ich einsehen kann.


Irgendwelche Ideen? :) :)

18
RadiantHex

Ein paar Möglichkeiten ..

  1. Die grundlegende Windows-Protokollierung mit der Richtlinieneinstellung "Anmeldeereignisse überwachen" sollte Ihren Anforderungen entsprechen.
  2. Sie können auch ein Remotedesktop-Gateway verwenden und die Überwachung konfigurieren, die protokolliert, welche Benutzer über RDP auf welche internen Ressourcen zugreifen. Einige zusätzliche Informationen sind verfügbar hier .
5
CurtM
  1. Ereignisanzeige öffnen (eventvwr.msc)
  2. Gehe zu Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager
  3. Öffnen Sie Admin oder Operational

Sie sehen die Sitzungsliste. Datum/Zeitstempel/IP/Benutzername usw. Sie können auch unter Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

31
Andy Bichler

Hier ist eine Lösung in PowerShell:

Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
    (new-object -Type PSObject -Property @{
        TimeGenerated = $_.TimeGenerated
        ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
        UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
        UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
        LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
    })
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
    switch ($_.LogonType) {
        2   {'Interactive (logon at keyboard and screen of system)'}
        3   {'Network (i.e. connection to shared folder)'}
        4   {'Batch (i.e. scheduled task)'}
        5   {'Service (i.e. service start)'}
        7   {'Unlock (i.e. post screensaver)'}
        8   {'NetworkCleartext (i.e. IIS)'}
        9   {'NewCredentials (i.e. local impersonation process under existing connection)'}
        10  {'RemoteInteractive (i.e. RDP)'}
        11  {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}   
        default {"LogType Not Recognised: $($_.LogonType)"}     
    }
}} 

Informationen zu den zugehörigen EventIds, nach denen wir filtern, finden Sie hier:

Für RDP-Verbindungen interessieren Sie sich speziell für LogType 10; RemoteInteractive; hier habe ich nicht gefiltert, falls die anderen Typen von Nutzen sind; Es ist jedoch trivial, bei Bedarf einen weiteren Filter hinzuzufügen.

Sie müssen auch sicherstellen, dass diese Protokolle erstellt werden. das zu tun:

  • Klicken Sie auf Start
  • Wählen Control Panel
  • Wählen Administrative Tools
  • Öffnen Sie Local Security Policy
  • Navigieren Security Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object> Logon/Logoff
  • Ändern Audit Logon bis Success
3
JohnLBevan

Neben dem Durchsuchen der Ereignisprotokolle, dem Suchen nach Anmeldetyp 10 (Remotedesktop) im Sicherheitsprotokoll oder dem Anzeigen der TerminalServices-Kanalereignisprotokolle müssen Sie Software von Drittanbietern verwenden.

Zusätzlich zu der oben erwähnten TSL ist hier eine andere, die ich in der Vergangenheit mit Erfolg verwendet habe - Remote Desktop Reporter

http://www.rdpsoft.com/products

Wenn Sie sich an einen Drittanbieter wenden, stellen Sie sicher, dass Sie mehrere bewerten und Preisangebote von jedem Anbieter erhalten. Es gibt eine große Preisdifferenz - einige Anbieter kosten pro benanntem Benutzer, andere pro gleichzeitigem Benutzer und andere einfach nach Server. Stellen Sie außerdem sicher, dass die Lösung über eine eigene Datenbank oder eine Lite-Version von SQL verfügt. Andernfalls werden Sie auch von den Datenbanklizenzkosten betroffen sein.

2
Jim Miller

Sie können in AD ein beliebiges Benutzerkonto für die Fernsteuerung festlegen, um die Sitzung eines Benutzers anzuzeigen oder mit dieser zu interagieren, indem Sie im Task-Manager mit der rechten Maustaste auf die Registerkarte Benutzer klicken und "Fernbedienung" auswählen. Sie können dann ihre Sitzung anzeigen.

0
ITGuy007

Ich habe die meisten kostenlosen/erschwinglichen Antworten auf dieser Seite durchgesehen und an anderer Stelle gesucht (seit Tagen, einschließlich des Lesens der von Andy Bichler erwähnten Ereignisprotokolle). Hier ist ein alternatives kostenloses RDP-Überwachungs- und Blockierungs-Tool:

http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html

Ich habe es nicht ausgiebig getestet, aber es heruntergeladen und gescannt (die tragbare Version), und obwohl die Benutzeroberfläche etwas hässlich ist, funktioniert sie bisher ohne Probleme auf einem 2012 R2-Server. Es ist "hands on", aber auch ein Kinderspiel und schlägt das Entschlüsseln der Ereignisprotokolle.

Es gibt auch ts_block, mit dem Sie IPs automatisch blockieren können, die das RDP Ihres Servers brutal erzwingen (was vermutlich ein Protokoll der RDP-Versuche enthält):

https://github.com/EvanAnderson/ts_block

Wie Sie in diesem Link sehen können, ist der Autor ein Serverfehlerbenutzer. Ich habe es nicht getestet, da es im Grunde ein vbscript ist, das ich vor der Verwendung sezieren müsste. Aber es scheint vielversprechend.

Das Problem mit den oben von Andy erwähnten Ereignisprotokollen ist, dass sie nicht sehr klar oder beschreibend sind, wer was tut ... zumindest in böswilligem Sinne. Sie können IP-Adressen finden, aber es ist schwer zu sagen, ob sie mit allen erfolglosen Anmeldeversuchen zusammenhängen. Ein anderes Tool als die inhärenten Protokolle scheint also fast obligatorisch zu sein, wenn Ihr Server mit dem Internet verbunden ist und Sie Bedenken hinsichtlich der Sicherheit haben.

0
Sum None

im eventlog -

Anwendungs- und Dienstprotokolle\Microsoft\Windows\Remotedesktopdienste-rdpcorets

es gibt alle Versuche, eine Verbindung zu rdp und der IP-Adresse herzustellen

0
imguest

Als ich vor ein paar Jahren als Administrator arbeitete, hatte ich ein Problem wie Sie jetzt. Ich wollte alle überwachen, die über das RDP eine Verbindung herstellen, und genau, wann und ob sie aktiv oder inaktiv waren.

Ich habe nur wenige Produkte evaluiert, aber festgestellt, dass keines davon gut genug für mich ist. Deshalb habe ich mein eigenes erstellt (das Problem war, dass jeder eine Art Agent oder Service hatte, um die Daten zu sammeln, und die Lösung, die ich erstellt habe, besteht darin, die TS-API per Fernzugriff zu verwenden Remote-Server und extrahieren Sie die Daten ohne einen Agenten). Das Produkt heißt jetzt Syskit (oder TSL, wie Jim erwähnte) und wird auf der ganzen Welt verwendet: D.

Sie können Benutzeraktivitäten überprüfen hier

0
Frane Borozan