Pregledajte i analizirajte evidenciju RDP veza u sustavu Windows (Windows Server 2012 R2)

U ovom ćemo članku razmotriti značajke revizije / analize zapisnika RDP veza u sustavu Windows. Obično opisane metode mogu biti korisne u istraživanju različitih incidenata na Windows terminal / RDS poslužiteljima, kada je administrator sustava potreban za pružanje informacija: koji su se korisnici prijavili na RDS poslužitelj, kad se određeni korisnik prijavio i završio sesiju, gdje / s kojeg uređaja (ime ili IP adresa) Korisnik RDP je povezan. Mislim da će ove informacije biti korisne i administratorima korporativnih RDS farmi i vlasnicima RDP poslužitelja na Internetu (Windows VPS pokazao se prilično popularnim).

Članak je primjenjiv na proučavanje zapisa RDP-a kako u sustavu Windows Server 2008 R2, 2012 / R2, 2016, tako i u odgovarajućim desktop verzijama sustava Windows (Windows 7, 8.1, 10).

Kao i drugi događaji, zapisnici RDP veze u sustavu Windows pohranjuju se u zapise događaja. Otvorite konzolu Event Viewer. Postoji nekoliko različitih časopisa u kojima možete pronaći informacije o RDP vezama..

Dnevnici sustava Windows sadrže puno informacija, ali brzo pronalaženje pravog događaja može biti prilično teško. Kad se korisnik na daljinu poveže s RDS serverom ili udaljenom radnom površinom (RDP), mnogi se događaji generiraju u Windows zapisima. Razmotrit ćemo zapisnike i događaje u glavnim fazama RDP veze, koji mogu biti zanimljivi administratoru:

Mrežna veza
ovjera
Prijava
Sesija Isključi / ponovno poveži
odjava

Mrežna veza: - uspostavljanje mrežne veze s poslužiteljem od RDP klijenta. Događaj s EventID-om - 1149 (Usluge udaljene radne površine: Provjera autentičnosti korisnika). Prisutnost ovog događaja ne ukazuje na uspješnu provjeru autentičnosti korisnika. Taj se zapisnik nalazi u odjeljku Dnevnici aplikacija i usluga -> Microsoft -> Windows -> Terminal-usluge-RemoteConnectionManager -> Operativni. Uključite filter za ovaj događaj (RMB u dnevniku-> Filtriranje trenutnog dnevnika -> EventId 1149).

Kao rezultat toga, dobit ćete popis s poviješću svih mrežnih RDP veza s ovim poslužiteljem. Kao što vidite, zapisnici označavaju korisničko ime, domenu (koristi se provjera identiteta NLA, kad je NLA onemogućena, tekst događaja izgleda drugačije) i IP adresa računala s kojeg je uspostavljena RDP veza.

Provjera autentičnosti: - uspješna ili neuspješna provjera autentičnosti korisnika na poslužitelju. Windows Journal -> Sigurnost. U skladu s tim, možda će nas zanimati događaji s EventID-om - 4624 (uspješna provjera autentičnosti - račun je uspješno prijavljen) ili 4625 (pogreška autentifikacije - račun se nije uspio prijaviti). Imajte na umu vrijednost LogonType u slučaju. Pri prijavi putem RDP servisa terminala - LogonType = 10 ili 3. ako LogonType = 7, a zatim se ponovno povezuje s postojećom RDP sesijom.

Možete koristiti događaje s greškama autentifikacije da biste se zaštitili od udaljenog nagađanja lozinkom za RDP. Takve IP adrese na vatrozidu možete automatski blokirati jednostavnom skriptu PowerShell (pogledajte članak).

Korisničko ime je sadržano u opisu događaja u polju Naziv računa, ime računala u Naziv radne stanice, i korisničko ime u Adresa mrežnog izvora.

Obratite pažnju na vrijednost polja. TargetLogonID - ovo je jedinstvena identifikator za sesiju korisnika s kojim možete pratiti daljnju aktivnost ovog korisnika. Međutim, prilikom prekida sa RDP sesije (prekida veze) i ponovnog povezivanja sa sesijom, korisnik će dobiti novi TargetLogonID (iako RDP sesija ostaje ista).

Možete dobiti popis uspješnih događaja autorizacije RDP-a (događaj 4624) pomoću ove naredbe PowerShell.

Get-EventLog sigurnost -after (Datum-datum-sat 0 -minut 0 -sekunda 0) | ? $ _. eventid -eq 4624 -and $ _. Poruka -match 'prijava tipa: \ s + (10) \ s' | Out-GridView

Prijava: - RDP prijava, događaj koji se dogodi nakon uspješne provjere identiteta korisnika. Događaj s EventID-om - 21 (Usluge udaljene radne površine: Uspješna prijava u sjednicu). Taj se zapisnik nalazi u Dnevnicima aplikacija i usluga -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operativni odjeljak. Kao što možete vidjeti ovdje, možete pronaći identifikator RDP sesije za korisnika - Session ID.

Događaj s EventID-om - 21 (Remote Desktop Services: Primljena obavijest o pokretanju Shell) znači uspješno pokretanje ljuske Explorer (izgled prozora radne površine u RDP sesiji).

Sesija Isključi / ponovno poveži - prekinuti / ponovno povezati događaje sa sesijom imaju različite kodove, ovisno o tome što je uzrokovalo da korisnik prekine vezu (prekine vezu neaktivnošću, odaberite Prekini u sesiji, završi sesiju RDP-a od strane drugog korisnika ili administratora itd.). Ovi se događaji nalaze u odjeljku Dnevnici aplikacija i usluga -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operativni dnevnici. Razmislite o RDP događajima koji bi mogli biti zanimljivi:

EventID - 24 (Usluge udaljene radne površine: Sesija je prekinuta) - korisnik je prekinuo RDP sesiju.
EventID - 25 (Usluge udaljene radne površine: Ponovno povezivanje sjednice) - korisnik se ponovno povezao s postojećom RDP sesijom na poslužitelju.
EventID - 39 (sjednica je prekinuta po sesiji ) - korisnik je sam isključio svoju RDP sesiju odabirom odgovarajuće stavke izbornika (a ne samo zatvaranja prozora RDP klijenta). Ako su identifikatori sesije različiti, korisnik je tada isključio drugog korisnika (ili administratora).
EventID - 40 (Sesija je prekinuta, kôd razloga ). Ovdje morate pogledati kôd za razlog prekida u slučaju. Na primjer:
šifra razloga 0 (Nisu dostupne dodatne informacije) - obično znači da je korisnik jednostavno zatvorio prozor RDP-a klijenta.
šifra razloga 5 (Klijentova veza zamijenjena je drugom vezom) - korisnik se ponovno povezao sa starom sesijom.
šifra razloga 11 (Korisnička aktivnost pokrenula je prekid veze) - korisnik je sam kliknuo gumb Disconnect u izborniku.

Događaj s EventID-om - 4778 u dnevniku Windows -> Sigurnost (sjednica je ponovno povezana s Window Stationom). Korisnik se ponovno pridružio RDP sesiji (korisniku je dodijeljen novi LogonID).

Događaj s EventID-om 4799 u dnevniku Windows -> Sigurnost (sjednica je prekinuta s prozorske stanice). Odspojite iz RDP sesije.

odjava: - odjava korisnika. Istodobno se događaj s EventID-om bilježi u zapisnicima aplikacija i usluga -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operativni zapisnik 23 (Usluge udaljene radne površine: uspjeh odjave sesije).

Istovremeno, u zapisniku sigurnosti morate gledati događaj EventID 4634 (Račun je odjavljen).

događaj događaj 9009 (Upravitelj radnog prozora izašao s kodom () u zapisniku sustava kaže da je korisnik pokrenuo završetak sesije RDP-a, a prozor i grafička ljuska korisnika su dovršeni.

Ispod je mali PowerShell koji iz zapisnika terminalnog RDS poslužitelja preuzima povijest svih RDP veza za tekući dan. Rezultirajuća tablica prikazuje vrijeme veze, IP adresu klijenta i RDP naziv korisnika (ako je potrebno, u izvješće možete uključiti i druge vrste ulaza).

Get-EventLog -LogName Security -after (Datum-datum-sat 0 -minut 0 -sekunda 0) | ? (4624,4778) sadrži $ _. EventID -and $ _. Poruka -chch 'prijava: \ s + (10) \ s' | % (novi objekt-Tip PSObject -Project @ TimeGenerated = $ _ ClientIP = $ _. Zamijeni poruku '(? Smi). * Adresa mrežne adrese: \ s + ([^ \ s] +) \ s +. *', '$ 1' Korisničko ime = $ _. Poruka zamijeni '(? Smi). * Naziv računa: \ s + ([^ \ s] +) \ s +. *', '$ 1' UserDomain = $ _. Poruka-zamijeni '(? Smi). * Domena računa: \ s + ([^ \ s] +) \ s +. *', '$ 1' LogonType = $ _. Poruka-zamijeni '(? Smi). * Vrsta prijave: \ s + ([^ \ s] +) \ s +. *', '$ 1' ) | vrsta TimeGenerated -Descending | Odaberite Vrijeme, generirano, ClientIP ' , @ N = 'Korisničko ime'; E = '0 \ 1' -f $ _. Korisnički domen, $ _. Korisničko ime ' , @ N = 'LogType'; E = sklopka ($ _. LogonType) 2 'Interaktivna - lokalna prijava' 3 'Mrežno povezivanje s zajedničkom mapom)' 4 "Batch" 5 'Usluga' 7 'Otključaj (nakon čuvara zaslona)' 8 'NetworkCleartext' 9 'NewCredentials (lokalni postupak lažnog predstavljanja pod postojećom vezom)' 10 'RDP' 11 'CachedInteractive' zadano "LogType nije prepoznat: $ ($ _. LogonType)"

Ponekad je prikladno s zapisnicima u proračunskoj tablici Excel, a u tom slučaju možete ukloniti bilo koji Windows zapis u tekstualnu datoteku i uvesti u Excel. Dnevnik možete izvesti iz konzole preglednika događaja (naravno, pod uvjetom da zapisnici nisu očišćeni) ili putem naredbenog retka:

WEVTUtil upita-događaja Sigurnost> c: \ ps \ security_log.txt

Ili tako:

get-winevent -logname "Microsoft-Windows-TerminalServices-LocalSessionManager / Operative" | Export-Csv c: \ ps \ rdp-log.txt -Skodiranje UTF8

Popis trenutnih RDP sesija na poslužitelju može se prikazati naredbom:

Qwinsta

Naredba vraća i identifikator sesije (ID), korisničko ime (USERNAME) i status (Active / Disconnect). Ova je naredba prikladna za upotrebu kada trebate odrediti RDP ID korisničke sesije s vezom u sjeni..