¿Hay algún registro de actividad de RDP? - Windows Server 2008 R2

18

Algunos usuarios han iniciado sesión en un servidor a través de RDP.

Me gustaría monitorear la actividad , pero no conozco bien el camino de Windows Server.

Espero que haya registros de algún tipo que pueda consultar.


¿Algunas ideas? :)

RadiantHex
fuente

Respuestas:

5

Algunas opciones ...

  1. El registro básico de Windows con la configuración de directiva "Auditar eventos de inicio de sesión" debe cubrir sus necesidades.
  2. También puede usar una puerta de enlace de escritorio remoto y configurar auditorías que registren qué usuarios están accediendo a qué recursos internos a través de RDP. Alguna información adicional está disponible aquí .
CurtM
fuente
31
  1. Visor de eventos abierto ( eventvwr.msc)
  2. Vaya a Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManager
  3. Abierto AdminoOperational

Verá la lista de sesiones. Fecha / Hora / IP / Nombre de usuario, etc. También puede buscar enApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

Andy Bichler
fuente
La IP del cliente (Dirección de red de origen) está en blanco para mí en Windows Server 2012. ¿Cómo la habilita?
Sacha K
1
Escribí una herramienta que analiza el visor de eventos por usted y le muestra un historial de inicios de sesión. Puede obtener la herramienta de mi blog: uglyvpn.com/2015/09/25/…
KPS
KPS, publicaste un vínculo muerto
Steve Yakovenko
3

Aquí hay una solución en PowerShell:

Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
    (new-object -Type PSObject -Property @{
        TimeGenerated = $_.TimeGenerated
        ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
        UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
        UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
        LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
    })
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
    switch ($_.LogonType) {
        2   {'Interactive (logon at keyboard and screen of system)'}
        3   {'Network (i.e. connection to shared folder)'}
        4   {'Batch (i.e. scheduled task)'}
        5   {'Service (i.e. service start)'}
        7   {'Unlock (i.e. post screensaver)'}
        8   {'NetworkCleartext (i.e. IIS)'}
        9   {'NewCredentials (i.e. local impersonation process under existing connection)'}
        10  {'RemoteInteractive (i.e. RDP)'}
        11  {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}   
        default {"LogType Not Recognised: $($_.LogonType)"}     
    }
}} 

La información sobre los EventIds relacionados en los que estamos filtrando se puede encontrar aquí:

Para conexiones RDP, está específicamente interesado en LogType 10; Remoto interactivo; aquí no he filtrado en caso de que los otros tipos sean de utilidad; pero es trivial agregar otro filtro si es necesario.

También deberá asegurarse de que se creen estos registros; Para hacer eso:

  • Hacer clic Start
  • Seleccione Control Panel
  • Seleccione Administrative Tools
  • Abierto Local Security Policy
  • Navegar Security Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/Logoff
  • Enmendar Audit LogonaSuccess
JohnLBevan
fuente
2

Además de revisar los registros de eventos, buscar Logon Type 10 (Escritorio remoto) en el Registro de seguridad o mirar los registros de eventos del canal TerminalServices, necesitará usar software de terceros.

Además de TSL mencionado anteriormente, aquí hay otro que he usado con éxito en el pasado: Remote Desktop Reporter

http://www.rdpsoft.com/products

Si va a un tercero, asegúrese de evaluar varios y obtener cotizaciones de precios de cada proveedor ... hay una gran discrepancia en el precio: algunos precios de los proveedores por usuario nombrado, algunos por usuario concurrente y algunos simplemente por servidor. Asegúrese también de que la solución viene con su propia base de datos o una versión lite de SQL; de lo contrario, también se verá afectado por los costos de la licencia de la base de datos.

Jim Miller
fuente
0

Puede configurar cualquier cuenta de usuario en AD para que el control remoto vea o interactúe con la sesión de un usuario yendo a la pestaña Usuarios en el Administrador de tareas, haciendo clic derecho y seleccionando 'Control remoto'. Luego puede ver su sesión.

ITGuy007
fuente
0

He revisado la mayoría de las respuestas gratuitas / asequibles en esta página, así como también he buscado en otro lugar (durante días, incluida la lectura de los registros de eventos mencionados por Andy Bichler) y aquí hay una herramienta alternativa alternativa de monitoreo y bloqueo de RDP:

http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html

No lo he probado exhaustivamente, pero lo descargué y escaneé (la versión portátil) y, aunque la interfaz de usuario es un poco fea, funciona hasta ahora en un servidor 2012 R2 sin problemas. Es "práctico", pero también es obvio y supera descifrar los registros de eventos.

También hay ts_block que le permite bloquear automáticamente las direcciones IP que son brutas forzando el RDP de su servidor (que supongo que tendría algún registro de intentos de RDP):

https://github.com/EvanAnderson/ts_block

Como puede ver en ese enlace, el autor es un usuario predeterminado del servidor. No lo he probado, ya que es básicamente un vbscript que necesitaría diseccionar antes de usar. Pero, parece prometedor.

El problema con los registros de eventos mencionados por Andy anteriormente es que no son muy claros o descriptivos sobre quién está haciendo qué ... al menos en un sentido malicioso. Puede encontrar direcciones IP, pero es difícil saber si están relacionadas con todos los intentos fallidos de inicio de sesión. Por lo tanto, otra herramienta que no sean los registros inherentes parece casi obligatoria si su servidor está conectado a Internet y tiene alguna preocupación sobre la seguridad.

Suma ninguno
fuente
0

en el registro de eventos -

Registros de aplicaciones y servicios \ Microsoft \ Windows \ remote desktop services-rdpcorets

hay todos los intentos de conectarse a rdp y la dirección ip

imguest
fuente
No puedo ver cuál es exactamente el inicio y el final de la ruta del archivo. Algún marcado haría que esta respuesta fuera mucho más legible.
Kasperd
0

Hace unos años, cuando trabajaba como administrador, tuve un problema como el tuyo ahora, quería monitorear a todos los que se conectan a través del RDP y exactamente cuándo y si estaban activos o inactivos.

He evaluado algunos productos, pero decidí que ninguno de ellos es lo suficientemente bueno para mí, así que construí el mío (el problema era que todos tenían algún tipo de agente o servicio para recopilar los datos, y la solución que construí es usar la API de TS para servidor remoto y extraer los datos sin ningún agente). El producto se llama ahora syskit (o TSL como mencionó Jim) y se usa ampliamente en todo el mundo: D

Puedes consultar las actividades del usuario aquí

Frane Borozan
fuente