Existem logs de atividades RDP? - Windows Server 2008 R2

18

alguns usuários efetuaram login no servidor por meio do RDP.

Gostaria de monitorar as atividades , mas não conheço muito bem o Windows Server.

Espero que haja algum tipo de registro que eu possa consultar.

Alguma ideia? :)

windows security logging windows-server-2008 remote-desktop RadiantHex
fonte

Respostas:

5

Algumas opções ..

  1. O registro básico de janelas usando a configuração de diretiva "Auditar eventos de logon" deve atender às suas necessidades.
  2. Você também pode usar um Gateway de Área de Trabalho Remota e configurar a auditoria que registra quais usuários estão acessando quais recursos internos via RDP. Algumas informações adicionais estão disponíveis aqui .
CurtM
fonte
31
  1. Abra o Visualizador de Eventos ( eventvwr.msc)
  2. Vá para Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManager
  3. Aberto AdminouOperational

Você verá a lista de sessões. Data / Data / Hora / IP / Nome do Usuário etc. Você também pode procurar emApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

Andy Bichler
fonte
O IP do cliente (endereço de rede de origem) está em branco para mim no Windows Server 2012. Como você o habilita?
Sacha K
11
Escrevi uma ferramenta que analisa o visualizador de eventos e mostra um histórico de logins. Você pode pegar a ferramenta no meu blog: uglyvpn.com/2015/09/25/…
KPS
KPS, você postou deadlink
Steve Yakovenko
3

Aqui está uma solução no PowerShell:

Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
    (new-object -Type PSObject -Property @{
        TimeGenerated = $_.TimeGenerated
        ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
        UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
        UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
        LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
    })
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
    switch ($_.LogonType) {
        2   {'Interactive (logon at keyboard and screen of system)'}
        3   {'Network (i.e. connection to shared folder)'}
        4   {'Batch (i.e. scheduled task)'}
        5   {'Service (i.e. service start)'}
        7   {'Unlock (i.e. post screensaver)'}
        8   {'NetworkCleartext (i.e. IIS)'}
        9   {'NewCredentials (i.e. local impersonation process under existing connection)'}
        10  {'RemoteInteractive (i.e. RDP)'}
        11  {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}   
        default {"LogType Not Recognised: $($_.LogonType)"}     
    }
}}

Informações sobre os EventIds relacionados com os quais estamos filtrando podem ser encontradas aqui:

Para conexões RDP, você está especificamente interessado no LogType 10; RemoteInteractive; aqui eu não filtrei caso os outros tipos sejam úteis; mas é trivial adicionar outro filtro, se necessário.

Você também precisará garantir que esses logs sejam criados; fazer isso:

  • Clique Start
  • Selecione Control Panel
  • Selecione Administrative Tools
  • Aberto Local Security Policy
  • Navegar Security Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/Logoff
  • Alterar Audit LogonparaSuccess
JohnLBevan
fonte
2

Além de vasculhar os logs de eventos, procurar o Logon Tipo 10 (Área de Trabalho Remota) no Log de Segurança ou os logs de eventos do canal TerminalServices, você precisará usar software de terceiros.

Além do TSL mencionado acima, aqui está outro que eu usei com sucesso no passado - Remote Desktop Reporter

http://www.rdpsoft.com/products

Se você for um terceiro, certifique-se de avaliar várias e obter cotações de cada fornecedor ... há uma enorme discrepância no preço - preço de alguns fornecedores por usuário nomeado, outros por usuário simultâneo e outros simplesmente por servidor. Verifique também se a solução vem com seu próprio banco de dados ou uma versão lite do SQL - caso contrário, você também será afetado pelos custos de licença do banco de dados.

Jim Miller
fonte
0

Você pode definir qualquer conta de usuário no AD para controle remoto para exibir ou interagir com a sessão de um usuário, vá para a guia Usuários no Gerenciador de tarefas, clique com o botão direito do mouse e selecione 'Controle remoto'. Você pode ver a sessão deles.

ITGuy007
fonte
0

Passei pela maioria das respostas gratuitas / acessíveis nesta página, além de pesquisar em outros lugares (por dias, incluindo a leitura dos logs de eventos mencionados por Andy Bichler) e aqui está uma ferramenta alternativa alternativa de monitoramento e bloqueio de RDP:

http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html

Não testei extensivamente, mas fiz o download e a digitalizei (a versão portátil) e, embora a interface do usuário seja um pouco feia, ela está trabalhando em um servidor 2012 R2 sem problemas até o momento. É "hands on", mas também é fácil e decifra os logs de eventos.

Também existe o ts_block, que permite bloquear automaticamente IPs brutos, forçando o RDP do servidor (que eu acho que teria algum registro de tentativas de RDP):

https://github.com/EvanAnderson/ts_block

Como você pode ver nesse link, o autor é um usuário com falha no servidor. Eu não testei, pois é basicamente um vbscript que eu precisaria dissecar antes de usar. Mas, parece promissor.

O problema com os logs de eventos mencionados por Andy acima é que eles não são muito claros ou descritivos sobre quem está fazendo o que ... pelo menos em sentido malicioso. Você pode encontrar endereços IP, mas é difícil saber se eles estão relacionados a todas as tentativas malsucedidas de login. Portanto, outra ferramenta que não seja os logs inerentes parece quase obrigatória se o servidor estiver enfrentando a Internet e tiver alguma dúvida sobre segurança.

Soma Nenhum
fonte
0

no log de eventos -

Logs de aplicativos e serviços \ Microsoft \ Windows \ serviços de área de trabalho remota-rdpcorets

há todas as tentativas de conexão com o rdp e o endereço IP

indiferente
fonte
Não consigo ver exatamente o que é o início e o fim do caminho do arquivo. Algumas marcações tornariam essa resposta muito mais legível.
kasperd
0

Quando eu trabalhava como administrador há alguns anos, tive um problema como o seu agora, queria monitorar todos que se conectam via RDP e exatamente quando e se estavam ativos ou ociosos.

Avaliei alguns produtos, mas decidi que nenhum deles é bom o suficiente para mim, então criei o meu próprio (o problema era todo um tipo de agente ou serviço para coletar os dados, e a solução que criei está usando a API TS para remotamente servidor remoto e extraia os dados sem nenhum agente). O produto agora é chamado syskit (ou TSL, como Jim mencionou) e é amplamente utilizado em todo o mundo: D

Você pode verificar as atividades do usuário aqui

Frane Borozan
fonte