alguns usuários efetuaram login no servidor por meio do RDP.
Gostaria de monitorar as atividades , mas não conheço muito bem o Windows Server.
Espero que haja algum tipo de registro que eu possa consultar.
Alguma ideia? :)
alguns usuários efetuaram login no servidor por meio do RDP.
Gostaria de monitorar as atividades , mas não conheço muito bem o Windows Server.
Espero que haja algum tipo de registro que eu possa consultar.
Alguma ideia? :)
Respostas:
Algumas opções ..
eventvwr.msc
)Applications and Services Logs
-> Microsoft
-> Windows
->TerminalServices-LocalSessionManager
Admin
ouOperational
Você verá a lista de sessões. Data / Data / Hora / IP / Nome do Usuário etc. Você também pode procurar emApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
Aqui está uma solução no PowerShell:
Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
(new-object -Type PSObject -Property @{
TimeGenerated = $_.TimeGenerated
ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
switch ($_.LogonType) {
2 {'Interactive (logon at keyboard and screen of system)'}
3 {'Network (i.e. connection to shared folder)'}
4 {'Batch (i.e. scheduled task)'}
5 {'Service (i.e. service start)'}
7 {'Unlock (i.e. post screensaver)'}
8 {'NetworkCleartext (i.e. IIS)'}
9 {'NewCredentials (i.e. local impersonation process under existing connection)'}
10 {'RemoteInteractive (i.e. RDP)'}
11 {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}
default {"LogType Not Recognised: $($_.LogonType)"}
}
}}
Informações sobre os EventIds relacionados com os quais estamos filtrando podem ser encontradas aqui:
Para conexões RDP, você está especificamente interessado no LogType 10; RemoteInteractive; aqui eu não filtrei caso os outros tipos sejam úteis; mas é trivial adicionar outro filtro, se necessário.
Você também precisará garantir que esses logs sejam criados; fazer isso:
Start
Control Panel
Administrative Tools
Local Security Policy
Security Settings
> Advanced Audit Policy Configuration
> System Audit Policies - Local Group Policy Object
>Logon/Logoff
Audit Logon
paraSuccess
Além de vasculhar os logs de eventos, procurar o Logon Tipo 10 (Área de Trabalho Remota) no Log de Segurança ou os logs de eventos do canal TerminalServices, você precisará usar software de terceiros.
Além do TSL mencionado acima, aqui está outro que eu usei com sucesso no passado - Remote Desktop Reporter
http://www.rdpsoft.com/products
Se você for um terceiro, certifique-se de avaliar várias e obter cotações de cada fornecedor ... há uma enorme discrepância no preço - preço de alguns fornecedores por usuário nomeado, outros por usuário simultâneo e outros simplesmente por servidor. Verifique também se a solução vem com seu próprio banco de dados ou uma versão lite do SQL - caso contrário, você também será afetado pelos custos de licença do banco de dados.
Passei pela maioria das respostas gratuitas / acessíveis nesta página, além de pesquisar em outros lugares (por dias, incluindo a leitura dos logs de eventos mencionados por Andy Bichler) e aqui está uma ferramenta alternativa alternativa de monitoramento e bloqueio de RDP:
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
Não testei extensivamente, mas fiz o download e a digitalizei (a versão portátil) e, embora a interface do usuário seja um pouco feia, ela está trabalhando em um servidor 2012 R2 sem problemas até o momento. É "hands on", mas também é fácil e decifra os logs de eventos.
Também existe o ts_block, que permite bloquear automaticamente IPs brutos, forçando o RDP do servidor (que eu acho que teria algum registro de tentativas de RDP):
https://github.com/EvanAnderson/ts_block
Como você pode ver nesse link, o autor é um usuário com falha no servidor. Eu não testei, pois é basicamente um vbscript que eu precisaria dissecar antes de usar. Mas, parece promissor.
O problema com os logs de eventos mencionados por Andy acima é que eles não são muito claros ou descritivos sobre quem está fazendo o que ... pelo menos em sentido malicioso. Você pode encontrar endereços IP, mas é difícil saber se eles estão relacionados a todas as tentativas malsucedidas de login. Portanto, outra ferramenta que não seja os logs inerentes parece quase obrigatória se o servidor estiver enfrentando a Internet e tiver alguma dúvida sobre segurança.
no log de eventos -
Logs de aplicativos e serviços \ Microsoft \ Windows \ serviços de área de trabalho remota-rdpcorets
há todas as tentativas de conexão com o rdp e o endereço IP
Quando eu trabalhava como administrador há alguns anos, tive um problema como o seu agora, queria monitorar todos que se conectam via RDP e exatamente quando e se estavam ativos ou ociosos.
Avaliei alguns produtos, mas decidi que nenhum deles é bom o suficiente para mim, então criei o meu próprio (o problema era todo um tipo de agente ou serviço para coletar os dados, e a solução que criei está usando a API TS para remotamente servidor remoto e extraia os dados sem nenhum agente). O produto agora é chamado syskit (ou TSL, como Jim mencionou) e é amplamente utilizado em todo o mundo: D
Você pode verificar as atividades do usuário aqui