beberapa pengguna telah masuk ke server melalui RDP.
Saya ingin memantau aktivitas , tetapi tidak tahu cara saya mengitari Windows Server dengan baik.
Saya berharap ada semacam log di sekitar yang dapat saya konsultasikan.
Ada ide? :)
windows
security
logging
windows-server-2008
remote-desktop
RadiantHex
sumber
sumber
Inilah solusi di PowerShell:
Informasi tentang EventIds terkait yang kami filter dapat ditemukan di sini:
Untuk koneksi RDP Anda secara khusus tertarik pada LogType 10; RemoteInteractive; di sini saya belum memfilter jika jenis lain digunakan; tapi sepele untuk menambahkan filter lain jika diperlukan.
Anda juga harus memastikan log ini dibuat; untuk melakukannya:
Start
Control Panel
Administrative Tools
Local Security Policy
Security Settings
>Advanced Audit Policy Configuration
>System Audit Policies - Local Group Policy Object
>Logon/Logoff
Audit Logon
keSuccess
sumber
Selain menyisir log peristiwa, mencari Logon Type 10 (Remote Desktop) di Log Keamanan, atau melihat log peristiwa saluran TerminalServices, Anda harus menggunakan perangkat lunak pihak ketiga.
Selain TSL yang disebutkan di atas, berikut ini adalah satu lagi yang pernah saya gunakan dengan sukses - Remote Desktop Reporter
http://www.rdpsoft.com/products
Jika Anda pergi ke pihak ketiga, pastikan Anda mengevaluasi beberapa dan mendapatkan penawaran harga dari masing-masing vendor ... ada perbedaan besar dalam harga - beberapa harga vendor per pengguna yang disebutkan, beberapa per pengguna bersamaan, dan beberapa hanya dengan server. Pastikan juga bahwa solusinya dilengkapi dengan database sendiri atau versi lite dari SQL - jika tidak, Anda akan mendapatkan biaya lisensi database juga.
sumber
Anda dapat mengatur akun pengguna apa pun dalam AD untuk kendali jarak jauh untuk melihat atau berinteraksi dengan sesi pengguna dengan membuka tab Pengguna di Pengelola Tugas, mengklik kanan dan memilih 'Kontrol Jarak Jauh'. Anda kemudian dapat melihat sesi mereka.
sumber
Saya telah melalui sebagian besar jawaban gratis / terjangkau di halaman ini serta mencari di tempat lain (selama berhari-hari, termasuk membaca log Peristiwa yang disebutkan oleh Andy Bichler) dan inilah alat pemantauan dan pemblokiran RDP alternatif:
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
Saya belum mengujinya secara luas, tetapi mengunduh dan memindainya (versi portabel) dan meskipun UI agak jelek, ia bekerja pada server R2 2012 tanpa masalah sejauh ini. Ini "tangan," tetapi juga tidak punya otak dan mengalahkan menguraikan log peristiwa.
Ada juga ts_block yang memungkinkan Anda untuk secara otomatis memblokir IP yang kasar memaksa RDP server Anda (yang saya duga akan memiliki beberapa upaya RDP):
https://github.com/EvanAnderson/ts_block
Seperti yang Anda lihat di tautan itu, penulis adalah pengguna serverfault. Saya belum mengujinya karena pada dasarnya merupakan vbscript yang harus saya potong sebelum menggunakannya. Tapi, sepertinya menjanjikan.
Masalah dengan log peristiwa yang disebutkan oleh Andy di atas adalah bahwa mereka tidak begitu jelas atau deskriptif mengenai siapa yang melakukan apa ... setidaknya dalam arti jahat. Anda dapat menemukan Alamat IP, tetapi sulit untuk mengetahui apakah itu terkait dengan semua upaya login yang gagal. Jadi, alat lain selain dari log bawaan tampaknya hampir wajib jika server Anda menghadapi internet dan Anda memiliki kekhawatiran tentang keamanan.
sumber
di log kejadian -
Aplikasi dan Layanan Log \ Microsoft \ Windows \ remote desktop services-rdpcorets
ada semua upaya untuk terhubung ke rdp dan alamat ip
sumber
Ketika saya bekerja sebagai administrator beberapa tahun yang lalu saya memiliki masalah seperti yang Anda lakukan sekarang, saya ingin memantau semua orang yang terhubung melalui RDP dan kapan tepatnya dan jika mereka aktif atau menganggur.
Saya telah mengevaluasi beberapa produk tetapi memutuskan tidak satupun dari mereka yang cukup baik untuk saya, jadi saya membangun sendiri (masalahnya adalah setiap orang memiliki semacam agen atau layanan untuk mengumpulkan data, dan solusi yang saya bangun menggunakan TS API untuk secara jarak jauh server jauh dan mengekstrak data tanpa agen apa pun). Produk ini disebut syskit (atau TSL seperti yang disebutkan Jim) dan digunakan secara luas di seluruh dunia: D
Anda dapat memeriksa aktivitas pengguna di sini
sumber