IT безопасность,  Скриптинг

Кто и когда подключался по RDP – часть 2

В первой части статьи (Кто и когда подключался по RDP) я в конце говорил, что скрипт не записывает ip адрес подключившегося, но при просмотре логов, ip адрес очень легко получить.

Подключение средствами RDP.

Необходимо просмотреть логи Microsoft-Windows-TerminalServices-RemoteConnectionManager по событию 1149, что бы получить возможность сопоставить пользователя с ip адресом. По умолчанию, логи настроены на малое количество записей, поэтому не забываем настроить максимальный объем журнала.

Сам скрипт выглядит вот так:

Данный скрипт необходимо запускать на терминальном сервере.

Подключение средствами RDG.

В случае если используется подключение через защищенное соединение – RDG (Remote Desktop Gateway), то необходимо обратиться к логам Microsoft-Windows-TerminalServices-Gateway, которые так же необходимо настроить на максимальный объем хранения.

300 – The user “%1”, on client computer “%2”, met resource authorization policy requirements and was therefore authorized to connect to resource “%4”.

302 – The user “%1”, on client computer “%2”, connected to resource “%4”.

303 – The user “%1”, on client computer “%2”, disconnected from the following network resource: “%4”. Before the user disconnected, the client transferred %6 bytes and received %5 bytes. The client session duration was %7 seconds.

Источник: MS

В итоге получаем вот такой скрипт:

P.S.

Уже даже нарисовал формочку для скрипта:

Но это уже тема для другой статьи. 🙂

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая кнопку Отправить комментарий Я даю согласие на обработку персональных данных.