Кто и откуда подключался по RDP?


(Дополнение Кто и откуда подключался по RDP — скрипты)

Иной раз на форумах Technet-RU попадаются интересные вопросы. И ответы. Вот один из них: как узнать кто и откуда подключался к серверу по RDP?

Оказывается не обязательно анализировать журнал Security и события входа в систему. Есть более удобный способ.

Открываем журнал

Diagnostics -> Event Viewer -> Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManager->Operational

и смотрим события с номером Event Id 1149. Для удобства можно отфильтровать журнал по событию с этим номером.

Если же интересует более конкретный вопрос, например, входы интересующего нас пользователя, то вместо стандартного фильтра придется использовать запрос в формате XML:

<QueryList> <Query Id=»0″ Path=»Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational»> <Select Path=»Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational»>*[System[(EventID=1149)]] and *[UserData[EventXML[(Param1=‘Ivanov’)]]]</Select> </Query></QueryList>

В событии с номером 1149 есть следующие параметры:

Param1 логин пользователя

Param2 имя домена логина пользователя

Param3 IP-адрес с которого заходил пользователь

Как видите можно использовать Param3 и узнать были ли подключения с конкретного адреса.

<QueryList> <Query Id=»0″ Path=»Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational»> <Select Path=»Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational»>*[System[(EventID=1149)]] and *[UserData[EventXML[(Param3=’192.168.0.50)]]]</Select> </Query></QueryList>

Вместо заключения.

Раньше поражало количество событий, которые пишет в журналы Windows. Теперь дополнительно к этому поражает количество журналов событий! Не знаю, как в этом ориентироваться, но главное это есть и, если повезет найти, это можно с пользой использовать.

Реклама

комментариев 12

  1. У меня этот журнал пуст. Хотя в Security события связанные с RDP пишутся.

    • Возможно журнал просто выключен — посмотрите его свойства.

      • Действительно, журнал был выключен- я его включил, но и после включения и последуущего перелогина появляются только события 261, 258 (Прослушиватель RDP-Tcp получил соединение)

  2. Помогите понять.
    Прихожу на работу, шевелю мышь — загорается монитор и вижу, что кроме меня есть ещё какой то неизвестный пользователь.

    Первым делом подумал, что кто то пытался подключиться по rdp.
    Зашёл под собой. Посмотрел логи кто когда и откуда коннектился и не увидел в них никого кроме себя. Время соответствует моим подключениям.

    Мой комп в локалке и лезет в инет через шлюз.

    Вопрос откуда он взялся и кто это вообще?
    Или это просто глюк винды 8мой и всё нормально и ник то не пытался меня ломануть??

    • Задайте вопрос на форумах TechNet-RU, приведите скриншот того, что вас смущает — посмотрим.

  3. У меня ситуация наоборот — отфильтровал по событию 1149 — а там столько входов с всевозможных внешних адресов — просто жуть … главное, сервер работает норм (Exch2013 мордой в инет). И подключения-то успешные … что-то не понимаю я.

    • Если это ваши лигитимные пользователи, то они могут выполнять подключения с мобильных устройств, которые получают динамические адреса для каждой интернет сессии.

  4. Илья, а почему в некоторых ивентах (1149) не указуется юзер ?
    Вот у меня много записей такого вида
    Remote Desktop Services: User authentication succeeded:

    User:
    Domain:
    Source Network Address: 92.60.ууу.ххх

    • Надо в соседних событиях посмотреть. Да и это событие в формате XML посмотреть.

  5. На глаз это как, не совсем понятно. Какие признаки должны быть чтобы определить, что файл юзался по RDP?

    • Дополнительно надо включать аудит на файловой системе, чтобы зафиксировать событие доступа к файлу. Потом анализировать и сопоставлять события журналов.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: