quelques utilisateurs se sont connectés à un serveur via RDP.
Je voudrais surveiller l'activité, mais je ne connais pas bien Windows Server.
J'espère qu'il y a des journaux que je peux consulter.
Des idées? :)
Quelques options ..
eventvwr.msc
)Applications and Services Logs
-> Microsoft
-> Windows
-> TerminalServices-LocalSessionManager
Admin
ou Operational
Vous verrez la liste des sessions. Date/horodatage/IP/nom d'utilisateur, etc. Vous pouvez également consulter sous Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
Voici une solution dans PowerShell:
Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
(new-object -Type PSObject -Property @{
TimeGenerated = $_.TimeGenerated
ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
switch ($_.LogonType) {
2 {'Interactive (logon at keyboard and screen of system)'}
3 {'Network (i.e. connection to shared folder)'}
4 {'Batch (i.e. scheduled task)'}
5 {'Service (i.e. service start)'}
7 {'Unlock (i.e. post screensaver)'}
8 {'NetworkCleartext (i.e. IIS)'}
9 {'NewCredentials (i.e. local impersonation process under existing connection)'}
10 {'RemoteInteractive (i.e. RDP)'}
11 {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}
default {"LogType Not Recognised: $($_.LogonType)"}
}
}}
Des informations sur les ID d'événement connexes sur lesquels nous filtrons sont disponibles ici:
Pour les connexions RDP, vous êtes spécifiquement intéressé par LogType 10; RemoteInteractive; ici je n'ai pas filtré au cas où les autres types seraient utiles; mais il est trivial d'ajouter un autre filtre si nécessaire.
Vous devrez également vous assurer que ces journaux sont créés; pour faire ça:
Start
Control Panel
Administrative Tools
Local Security Policy
Security Settings
> Advanced Audit Policy Configuration
> System Audit Policies - Local Group Policy Object
> Logon/Logoff
Audit Logon
à Success
En plus de parcourir les journaux d'événements, de rechercher Logon Type 10 (Bureau à distance) dans le journal de sécurité ou de consulter les journaux d'événements du canal TerminalServices, vous devrez utiliser un logiciel tiers.
En plus de TSL mentionné ci-dessus, voici un autre que j'ai utilisé avec succès dans le passé - Remote Desktop Reporter
http://www.rdpsoft.com/products
Si vous optez pour un tiers, assurez-vous d'en évaluer plusieurs et d'obtenir des devis de chaque fournisseur ... il y a une énorme différence de prix - certains prix des fournisseurs par utilisateur nommé, certains par utilisateur simultané et certains simplement par serveur. Assurez-vous également que la solution est livrée avec sa propre base de données ou une version allégée de SQL - sinon vous obtiendrez également des coûts de licence de base de données.
Vous pouvez définir n'importe quel compte d'utilisateur dans AD pour le contrôle à distance pour afficher ou interagir avec la session d'un utilisateur en allant dans l'onglet Utilisateurs dans le Gestionnaire des tâches, en cliquant avec le bouton droit et en sélectionnant "Contrôle à distance". Vous pouvez ensuite visualiser leur session.
J'ai parcouru la plupart des réponses gratuites/abordables sur cette page ainsi que des recherches ailleurs (pendant des jours, y compris la lecture des journaux d'événements mentionnés par Andy Bichler) et voici un autre outil gratuit de surveillance et de blocage RDP:
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
Je ne l'ai pas testé intensivement, mais je l'ai téléchargé et scanné (la version portable) et bien que l'interface utilisateur soit un peu laide, elle fonctionne sur un serveur 2012 R2 sans problème jusqu'à présent. C'est "pratique", mais aussi une évidence et bat le déchiffrement des journaux d'événements.
Il y a aussi ts_block qui vous permet de bloquer automatiquement les IP qui forcent brutalement le RDP de votre serveur (qui, je suppose, aurait un journal des tentatives RDP):
https://github.com/EvanAnderson/ts_block
Comme vous pouvez le voir sur ce lien, l'auteur est un utilisateur par défaut du serveur. Je ne l'ai pas testé car c'est fondamentalement un vbscript que je devrais disséquer avant de l'utiliser. Mais cela semble prometteur.
Le problème avec les journaux d'événements mentionnés par Andy ci-dessus est qu'ils ne sont pas très clairs ou descriptifs quant à qui fait quoi ... au moins dans un sens malveillant. Vous pouvez trouver des adresses IP, mais il est difficile de dire si elles sont liées à toutes les tentatives de connexion infructueuses. Ainsi, un autre outil que les journaux inhérents semble presque obligatoire si votre serveur fait face à Internet et que vous avez des inquiétudes concernant la sécurité.
dans le journal des événements -
Journaux des applications et des services\Microsoft\Windows\services de bureau à distance-rdpcorets
il y a toutes les tentatives de connexion au rdp et à l'adresse ip
Lorsque je travaillais en tant qu'administrateur il y a quelques années, j'avais un problème comme vous le faites maintenant, je voulais surveiller tous ceux qui se connectent via le RDP et exactement quand et s'ils étaient actifs ou inactifs.
J'ai évalué peu de produits, mais j'ai décidé qu'aucun d'entre eux ne me convenait, alors j'ai créé le mien (le problème était que chacun avait une sorte d'agent ou de service pour collecter les données, et la solution que j'ai construite utilise l'API TS pour serveur distant et extraire les données sans aucun agent). Le produit s'appelle maintenant syskit (ou TSL comme Jim l'a mentionné) et il est largement utilisé partout dans le monde: D
Vous pouvez vérifier les activités des utilisateurs ici