कुछ उपयोगकर्ताओं ने RDP के माध्यम से एक सर्वर में प्रवेश किया है।
मैं गतिविधि की निगरानी करना चाहूंगा , लेकिन अपने तरीके से विंडोज सर्वर को अच्छी तरह से नहीं जानता।
मैं उम्मीद कर रहा हूं कि आसपास कुछ तरह के लॉग हैं जो मैं परामर्श कर सकता हूं।
कोई विचार? :)
जवाबों:
कुछ विकल्प ।।
eventvwr.msc)Applications and Services Logs-> Microsoft-> Windows->TerminalServices-LocalSessionManagerAdminयाOperationalआप सत्र सूची देखेंगे। दिनांक / टाइमस्टैम्पड / आईपी / यूजरनेम आदि। आप भी देख सकते हैंApplications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
यहाँ PowerShell में एक समाधान है:
Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
(new-object -Type PSObject -Property @{
TimeGenerated = $_.TimeGenerated
ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
})
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
switch ($_.LogonType) {
2 {'Interactive (logon at keyboard and screen of system)'}
3 {'Network (i.e. connection to shared folder)'}
4 {'Batch (i.e. scheduled task)'}
5 {'Service (i.e. service start)'}
7 {'Unlock (i.e. post screensaver)'}
8 {'NetworkCleartext (i.e. IIS)'}
9 {'NewCredentials (i.e. local impersonation process under existing connection)'}
10 {'RemoteInteractive (i.e. RDP)'}
11 {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}
default {"LogType Not Recognised: $($_.LogonType)"}
}
}}
संबंधित EventIds के बारे में जानकारी जिसे हम फ़िल्टर कर रहे हैं वह यहाँ मिल सकती है:
RDP कनेक्शन के लिए आप विशेष रूप से LogType 10 में रुचि रखते हैं; RemoteInteractive; यहाँ मैं अन्य प्रकार के उपयोग के मामले में फ़िल्टर नहीं किया गया हूँ; लेकिन यदि आवश्यक हो तो यह एक और फिल्टर जोड़ने के लिए तुच्छ है।
आपको यह सुनिश्चित करने की भी आवश्यकता होगी कि ये लॉग बनाए गए हैं; ऐसा करने के लिए:
Start Control PanelAdministrative ToolsLocal Security PolicySecurity Settings> Advanced Audit Policy Configuration> System Audit Policies - Local Group Policy Object>Logon/LogoffAudit LogonकरेंSuccessईवेंट लॉग के माध्यम से कंघी करने के अलावा, सुरक्षा लॉग में लॉगऑन टाइप 10 (रिमोट डेस्कटॉप) की तलाश में, या टर्मिनलसर्विस चैनल इवेंट लॉग को देखते हुए, आपको तीसरे पक्ष के सॉफ़्टवेयर का उपयोग करना होगा।
ऊपर उल्लिखित टीएसएल के अलावा, यहां एक अन्य है जिसका उपयोग मैंने अतीत में सफलता के साथ किया है - रिमोट डेस्कटॉप रिपोर्टर
http://www.rdpsoft.com/products
यदि आप तीसरे पक्ष के पास जाते हैं, तो सुनिश्चित करें कि आप कई का मूल्यांकन करते हैं और प्रत्येक विक्रेता से मूल्य उद्धरण प्राप्त करते हैं ... कीमत में भारी विसंगति है - कुछ विक्रेताओं की कीमत प्रति उपयोगकर्ता नाम, कुछ प्रति समवर्ती उपयोगकर्ता, और कुछ बस सर्वर द्वारा। यह भी सुनिश्चित करें कि समाधान अपने स्वयं के डेटाबेस या SQL के लाइट संस्करण के साथ आता है - अन्यथा आप डेटाबेस लाइसेंस लागतों के साथ भी हिट हो जाएंगे।
मैं इस पृष्ठ पर अधिकांश नि: शुल्क / सस्ती उत्तरों के साथ-साथ कहीं और खोज कर रहा हूं (दिनों के लिए, एंडी बाइक्लर द्वारा उल्लिखित इवेंट लॉग को पढ़ने सहित) और यहां एक वैकल्पिक मुफ्त आरडीपी निगरानी और अवरुद्ध उपकरण है:
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
मैंने इसे बड़े पैमाने पर परीक्षण नहीं किया है, लेकिन इसे डाउनलोड किया है और इसे (पोर्टेबल संस्करण) स्कैन किया है, हालांकि यूआई बदसूरत पक्ष पर थोड़ा सा है, यह इस प्रकार अब तक जारी किए बिना 2012 R2 सर्वर पर काम कर रहा है। यह "हाथों पर" है, लेकिन एक नो-ब्रेनर के रूप में भी है और ईवेंट लॉग को डिक्रीफ़ायर करते हुए धड़कता है।
Ts_block भी है जो आपको अपने सर्वर के RDP को मजबूर करने वाले IP को स्वचालित रूप से ब्लॉक करने की अनुमति देता है (जो मैं अनुमान लगा रहा हूं कि RDP प्रयासों के कुछ लॉग होंगे):
https://github.com/EvanAnderson/ts_block
जैसा कि आप उस लिंक में देख सकते हैं, लेखक एक सर्वरफॉल्ट उपयोगकर्ता है। मैंने इसका परीक्षण नहीं किया है क्योंकि यह मूल रूप से एक vbscript है जिसे उपयोग करने से पहले मुझे अलग करना होगा। लेकिन, यह आशाजनक लगता है।
एंडी द्वारा उपर्युक्त घटना लॉग के साथ समस्या यह है कि वे बहुत स्पष्ट या वर्णनात्मक नहीं हैं कि कौन क्या कर रहा है ... कम से कम दुर्भावनापूर्ण अर्थ में। आप आईपी पते पा सकते हैं, लेकिन फिर यह बताना मुश्किल है कि क्या वे सभी असफल लॉगिन प्रयासों से संबंधित हैं। इसलिए, यदि आप सर्वर इंटरनेट का सामना कर रहे हैं तो अंतर्निहित लॉग्स के अलावा एक और टूल लगभग अनिवार्य है और आपको सुरक्षा के बारे में कोई चिंता है।
जब मैं कुछ साल पहले एक प्रशासक के रूप में काम कर रहा था तो मेरे पास यह मुद्दा था कि आप अब क्या करते हैं, मैं हर उस व्यक्ति पर नजर रखना चाहता था जो आरडीपी के माध्यम से जुड़ता है और ठीक उसी समय जब और यदि वे सक्रिय या निष्क्रिय थे।
मैंने कुछ उत्पादों का मूल्यांकन किया है, लेकिन उनमें से कोई भी मेरे लिए पर्याप्त नहीं है, इसलिए मैंने अपना स्वयं का निर्माण किया है (समस्या हर किसी के पास डेटा एकत्र करने के लिए किसी तरह का एजेंट या सेवा थी, और मैंने जो समाधान बनाया है वह दूर से टीएस एपीआई का उपयोग कर रहा है। दूरस्थ सर्वर और किसी भी एजेंट के बिना डेटा को निकालने)। उत्पाद को अब सिस्किट कहा जाता है (या टीएसएल जैसा कि जिम ने उल्लेख किया है) और इसे दुनिया भर में व्यापक रूप से उपयोग किया जाता है: डी