Gibt es RDP-Aktivitätsprotokolle? - Windows Server 2008 R2

18

Einige Benutzer haben sich über RDP bei einem Server angemeldet.

Ich möchte die Aktivität überwachen , kenne mich aber mit Windows Server nicht so gut aus.

Ich hoffe, es gibt Protokolle, die ich einsehen kann.


Irgendwelche Ideen? :)

RadiantHex
quelle

Antworten:

5

Ein paar Möglichkeiten ..

  1. Die grundlegende Windows-Protokollierung mit der Richtlinieneinstellung "Anmeldeereignisse überwachen" sollte Ihre Anforderungen erfüllen.
  2. Sie können auch ein Remotedesktop-Gateway verwenden und eine Überwachung konfigurieren, die protokolliert, welche Benutzer über RDP auf welche internen Ressourcen zugreifen. Einige zusätzliche Informationen finden Sie hier .
CurtM
quelle
31
  1. Öffnen Sie die Ereignisanzeige ( eventvwr.msc)
  2. Gehen Sie zu Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManager
  3. Öffnen Sie AdminoderOperational

Sie sehen die Sitzungsliste. Datum / Zeitstempel / IP / Benutzername usw. Sie können auch unter suchenApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

Andy Bichler
quelle
Unter Windows Server 2012 ist die Client-IP (Quellnetzwerkadresse) leer. Wie wird sie aktiviert?
Sacha K.,
1
Ich habe ein Tool geschrieben, das die Ereignisanzeige für Sie analysiert und Ihnen einen Verlauf der Anmeldungen anzeigt. Sie können das Tool von meinem Blog abrufen
KPS
KPS, Sie haben einen Deadlink gepostet
Steve
3

Hier ist eine Lösung in PowerShell:

Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
    (new-object -Type PSObject -Property @{
        TimeGenerated = $_.TimeGenerated
        ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
        UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
        UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
        LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
    })
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
    switch ($_.LogonType) {
        2   {'Interactive (logon at keyboard and screen of system)'}
        3   {'Network (i.e. connection to shared folder)'}
        4   {'Batch (i.e. scheduled task)'}
        5   {'Service (i.e. service start)'}
        7   {'Unlock (i.e. post screensaver)'}
        8   {'NetworkCleartext (i.e. IIS)'}
        9   {'NewCredentials (i.e. local impersonation process under existing connection)'}
        10  {'RemoteInteractive (i.e. RDP)'}
        11  {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}   
        default {"LogType Not Recognised: $($_.LogonType)"}     
    }
}} 

Informationen zu den zugehörigen EventIds, nach denen wir filtern, finden Sie hier:

Für RDP-Verbindungen interessieren Sie sich speziell für LogType 10. RemoteInteractive; hier habe ich nicht gefiltert, falls die anderen Arten von Nutzen sind; Es ist jedoch trivial, bei Bedarf einen weiteren Filter hinzuzufügen.

Sie müssen auch sicherstellen, dass diese Protokolle erstellt werden. das zu tun:

  • Klicken Start
  • Wählen Control Panel
  • Wählen Administrative Tools
  • Öffnen Local Security Policy
  • Navigieren Security Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/Logoff
  • Änderung Audit LogonzuSuccess
JohnLBevan
quelle
2

Abgesehen vom Durchsuchen der Ereignisprotokolle, Suchen nach Anmeldetyp 10 (Remotedesktop) im Sicherheitsprotokoll oder Anzeigen der Ereignisprotokolle des TerminalServices-Kanals müssen Sie Software von Drittanbietern verwenden.

Zusätzlich zu der oben erwähnten TSL habe ich noch eine andere mit Erfolg verwendet: Remote Desktop Reporter

http://www.rdpsoft.com/products

Wenn Sie sich an Dritte wenden, stellen Sie sicher, dass Sie mehrere Anbieter bewerten und Preisangebote von jedem Anbieter erhalten ... es gibt eine enorme Preisdifferenz - einige Anbieterpreise pro benanntem Benutzer, einige pro gleichzeitigem Benutzer und einige einfach nach Server. Stellen Sie außerdem sicher, dass die Lösung über eine eigene Datenbank oder eine Lite-Version von SQL verfügt.

Jim Miller
quelle
0

Sie können jedes Benutzerkonto in AD so einrichten, dass die Remotesteuerung die Sitzung eines Benutzers anzeigt oder mit ihr interagiert, indem Sie im Task-Manager auf die Registerkarte Benutzer klicken, mit der rechten Maustaste klicken und "Remotesteuerung" auswählen. Sie können dann ihre Sitzung anzeigen.

ITGuy007
quelle
0

Ich habe die meisten kostenlosen / erschwinglichen Antworten auf dieser Seite durchgesehen und auch an anderer Stelle gesucht (tagelang, einschließlich des Lesens der von Andy Bichler erwähnten Ereignisprotokolle).

http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html

Ich habe es nicht ausgiebig getestet, aber es heruntergeladen und gescannt (die portable Version) und obwohl die Benutzeroberfläche ein bisschen hässlich ist, funktioniert es auf einem 2012 R2-Server bisher ohne Probleme. Es ist "hands on", aber auch ein Kinderspiel und schlägt das Entschlüsseln der Ereignisprotokolle.

Es gibt auch ts_block, mit dem Sie IPs automatisch blockieren können, die das RDP Ihres Servers brutal erzwingen (was vermutlich einige RDP-Versuche protokollieren würde):

https://github.com/EvanAnderson/ts_block

Wie Sie in diesem Link sehen können, ist der Autor ein Serverfehlerbenutzer. Ich habe es nicht getestet, da es im Grunde genommen ein vbscript ist, das ich vor der Verwendung sezieren müsste. Aber es scheint vielversprechend.

Das Problem mit den von Andy oben erwähnten Ereignisprotokollen ist, dass sie nicht sehr klar oder beschreibend sind, wer was tut ... zumindest in böswilliger Hinsicht. Sie können IP-Adressen finden, aber dann ist es schwer zu sagen, ob sie mit allen fehlgeschlagenen Anmeldeversuchen zusammenhängen. Daher scheint ein anderes Tool als die inhärenten Protokolle fast obligatorisch zu sein, wenn Ihr Server mit dem Internet verbunden ist und Sie Bedenken hinsichtlich der Sicherheit haben.

Summe Keine
quelle
0

im Eventlog -

Anwendungs ​​- und Dienstprotokolle \ Microsoft \ Windows \ remote desktop services-rdpcorets

es gibt alle versuche, eine verbindung zu rdp und der ip-adresse herzustellen

imguest
quelle
Ich kann den Anfang und das Ende des Dateipfads nicht genau erkennen. Einige Markups würden diese Antwort viel lesbarer machen.
Kasperd
0

Als ich vor ein paar Jahren als Administrator gearbeitet habe, hatte ich Probleme wie Sie. Ich wollte alle überwachen, die über das RDP eine Verbindung herstellen, und genau, wann und ob sie aktiv oder inaktiv sind.

Ich habe nur wenige Produkte evaluiert, bin jedoch zu dem Schluss gekommen, dass keines für mich gut genug ist, sodass ich mein eigenes Produkt erstellt habe (das Problem bestand darin, dass jeder eine Art Agent oder Service zum Erfassen der Daten hatte und die von mir erstellte Lösung die Verwendung der TS-API für Remotezugriffe ist Remote-Server und extrahieren Sie die Daten ohne Agent). Das Produkt heißt jetzt syskit (oder TSL wie Jim erwähnt) und wird auf der ganzen Welt verwendet: D

Sie können Benutzeraktivitäten überprüfen hier

Frane Borozan
quelle