Existe-t-il des journaux d'activité RDP? - Windows Server 2008 R2

18

quelques utilisateurs se sont connectés à un serveur via RDP.

Je voudrais surveiller l'activité , mais je ne connais pas bien mon chemin dans Windows Server.

J'espère qu'il y a des journaux que je peux consulter.

Des idées? :)

windows security logging windows-server-2008 remote-desktop RadiantHex
la source

Réponses:

5

Quelques options ..

  1. La journalisation de base des fenêtres à l'aide du paramètre de stratégie "Audit Logon Events" devrait couvrir vos besoins.
  2. Vous pouvez également utiliser une passerelle Bureau à distance et configurer un audit qui enregistre quels utilisateurs accèdent à quelles ressources internes via RDP. Quelques informations supplémentaires sont disponibles ici .
CurtM
la source
31
  1. Ouvrir l'Observateur d'événements ( eventvwr.msc)
  2. Allez à Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManager
  3. Ouvert AdminouOperational

Vous verrez la liste des sessions. Date / horodatage / IP / nom d'utilisateur, etc. Vous pouvez également regarder sousApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

Andy Bichler
la source
L'IP client (adresse réseau source) est vide pour moi sur Windows Server 2012. Comment l'activez-vous?
Sacha K du
1
J'ai rédigé un outil qui analyse l'analyseur d'événements pour vous et vous montre un historique des connexions. Vous pouvez récupérer l'outil sur mon blog: uglyvpn.com/2015/09/25/…
KPS
KPS, vous avez publié un lien mort
Steve Yakovenko
3

Voici une solution dans PowerShell:

Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
    (new-object -Type PSObject -Property @{
        TimeGenerated = $_.TimeGenerated
        ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
        UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
        UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
        LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
    })
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
    switch ($_.LogonType) {
        2   {'Interactive (logon at keyboard and screen of system)'}
        3   {'Network (i.e. connection to shared folder)'}
        4   {'Batch (i.e. scheduled task)'}
        5   {'Service (i.e. service start)'}
        7   {'Unlock (i.e. post screensaver)'}
        8   {'NetworkCleartext (i.e. IIS)'}
        9   {'NewCredentials (i.e. local impersonation process under existing connection)'}
        10  {'RemoteInteractive (i.e. RDP)'}
        11  {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}   
        default {"LogType Not Recognised: $($_.LogonType)"}     
    }
}}

Des informations sur les ID d'événement connexes sur lesquels nous filtrons sont disponibles ici:

Pour les connexions RDP, vous êtes spécifiquement intéressé par LogType 10; RemoteInteractive; ici je n'ai pas filtré au cas où les autres types seraient utiles; mais il est trivial d'ajouter un autre filtre si nécessaire.

Vous devrez également vous assurer que ces journaux sont créés; pour faire ça:

  • Cliquez sur Start
  • Sélectionner Control Panel
  • Sélectionner Administrative Tools
  • Ouvert Local Security Policy
  • Naviguer Security Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/Logoff
  • modifier Audit LogonpourSuccess
JohnLBevan
la source
2

En plus de parcourir les journaux d'événements, de rechercher Logon Type 10 (Bureau à distance) dans le journal de sécurité ou de consulter les journaux d'événements du canal TerminalServices, vous devrez utiliser un logiciel tiers.

En plus de TSL mentionné ci-dessus, voici un autre que j'ai utilisé avec succès dans le passé - Remote Desktop Reporter

http://www.rdpsoft.com/products

Si vous optez pour un tiers, assurez-vous d'en évaluer plusieurs et d'obtenir des devis de chaque fournisseur ... il y a une énorme différence de prix - certains prix des fournisseurs par utilisateur nommé, certains par utilisateur simultané et certains simplement par serveur. Assurez-vous également que la solution est livrée avec sa propre base de données ou une version allégée de SQL - sinon vous obtiendrez également des coûts de licence de base de données.

Jim Miller
la source
0

Vous pouvez définir n'importe quel compte d'utilisateur dans AD pour le contrôle à distance pour afficher ou interagir avec la session d'un utilisateur en allant dans l'onglet Utilisateurs du Gestionnaire des tâches, en cliquant avec le bouton droit et en sélectionnant «Contrôle à distance». Vous pouvez ensuite visualiser leur session.

ITGuy007
la source
0

J'ai parcouru la plupart des réponses gratuites / abordables sur cette page ainsi que des recherches ailleurs (pendant des jours, y compris la lecture des journaux d'événements mentionnés par Andy Bichler) et voici un autre outil gratuit de surveillance et de blocage RDP:

http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html

Je ne l'ai pas testé intensivement, mais je l'ai téléchargé et scanné (la version portable) et bien que l'interface utilisateur soit un peu laide, elle fonctionne sur un serveur 2012 R2 sans problème jusqu'à présent. C'est "pratique", mais aussi une évidence et bat le déchiffrement des journaux d'événements.

Il y a aussi ts_block qui vous permet de bloquer automatiquement les IP qui forcent brutalement le RDP de votre serveur (qui, je suppose, aurait un journal des tentatives de RDP):

https://github.com/EvanAnderson/ts_block

Comme vous pouvez le voir sur ce lien, l'auteur est un utilisateur par défaut du serveur. Je ne l'ai pas testé car c'est essentiellement un vbscript que je devrais disséquer avant de l'utiliser. Mais cela semble prometteur.

Le problème avec les journaux d'événements mentionnés par Andy ci-dessus est qu'ils ne sont pas très clairs ou descriptifs quant à qui fait quoi ... au moins dans un sens malveillant. Vous pouvez trouver des adresses IP, mais il est difficile de dire si elles sont liées à toutes les tentatives de connexion infructueuses. Ainsi, un autre outil que les journaux inhérents semble presque obligatoire si votre serveur est confronté à Internet et que vous avez des problèmes de sécurité.

Somme aucune
la source
0

dans le journal des événements -

Journaux des applications et des services \ Microsoft \ Windows \ services de bureau à distance-rdpcorets

il y a toutes les tentatives de connexion au rdp et à l'adresse ip

imguest
la source
Je ne peux pas voir exactement le début et la fin du chemin d'accès au fichier. Un balisage rendrait cette réponse beaucoup plus lisible.
kasperd
0

Lorsque je travaillais en tant qu'administrateur il y a quelques années, j'avais un problème comme vous le faites maintenant, je voulais surveiller tous ceux qui se connectent via le RDP et exactement quand et s'ils étaient actifs ou inactifs.

J'ai évalué peu de produits, mais j'ai décidé qu'aucun d'entre eux ne me convenait, alors j'ai créé le mien (le problème était que chacun avait une sorte d'agent ou de service pour collecter les données, et la solution que j'ai construite utilise l'API TS pour serveur distant et extraire les données sans aucun agent). Le produit s'appelle maintenant syskit (ou TSL comme Jim l'a mentionné) et il est largement utilisé partout dans le monde: D

Vous pouvez vérifier les activités des utilisateurs ici

Frane Borozan
la source