IT безопастность,  Скриптинг

Кто и когда подключался по RDP — часть 2

В первой части статьи (Кто и когда подключался по RDP) я в конце говорил, что скрипт не записывает ip адрес подключившегося, но при просмотре логов, ip адрес очень легко получить.

Подключение средствами RDP.

Необходимо просмотреть логи Microsoft-Windows-TerminalServices-RemoteConnectionManager по событию 1149, что бы получить возможность сопоставить пользователя с ip адресом. По умолчанию, логи настроены на малое количество записей, поэтому не забываем настроить максимальный объем журнала.

Сам скрипт выглядит вот так:

Данный скрипт необходимо запускать на терминальном сервере.

Подключение средствами RDG.

В случае если используется подключение через защищенное соединение — RDG (Remote Desktop Gateway), то необходимо обратиться к логам Microsoft-Windows-TerminalServices-Gateway, которые так же необходимо настроить на максимальный объем хранения.

300 — The user «%1», on client computer «%2», met resource authorization policy requirements and was therefore authorized to connect to resource «%4».

302 — The user «%1», on client computer «%2», connected to resource «%4».

303 — The user «%1», on client computer «%2», disconnected from the following network resource: «%4». Before the user disconnected, the client transferred %6 bytes and received %5 bytes. The client session duration was %7 seconds.

Источник: MS

В итоге получаем вот такой скрипт:

P.S.

Уже даже нарисовал формочку для скрипта:

Но это уже тема для другой статьи. 🙂

Поделиться статьей:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая кнопку Отправить комментарий Я даю согласие на обработку персональных данных.