Existe-t-il des journaux d'activité RDP ? - Windows Server 2008 R2

1. Ouvrir l'observateur d'événements ( eventvwr.msc )
2. Aller à Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager
3. オープン Admin o Operational

La liste des sessions s'affiche. Date/horodatage/IP/nom d'utilisateur, etc. Vous pouvez également consulter la rubrique Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

Voici une solution en PowerShell :

Get-EventLog -LogName Security | ?{(4624,4778) -contains $_.EventID} | %{
    (new-object -Type PSObject -Property @{
        TimeGenerated = $_.TimeGenerated
        ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1'
        UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1'
        UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1'
        LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1'
    })
} | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP `
, @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} `
, @{N='LogType';E={
    switch ($_.LogonType) {
        2   {'Interactive (logon at keyboard and screen of system)'}
        3   {'Network (i.e. connection to shared folder)'}
        4   {'Batch (i.e. scheduled task)'}
        5   {'Service (i.e. service start)'}
        7   {'Unlock (i.e. post screensaver)'}
        8   {'NetworkCleartext (i.e. IIS)'}
        9   {'NewCredentials (i.e. local impersonation process under existing connection)'}
        10  {'RemoteInteractive (i.e. RDP)'}
        11  {'CachedInteractive (i.e. interactive, but without network connection to validate against AD)'}   
        default {"LogType Not Recognised: $($_.LogonType)"}     
    }
}} 

Vous trouverez ici des informations sur les EventIds que nous filtrons :

• Connexion réussie : https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624
• Session de reconnexion : https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4778

Pour les connexions RDP, vous êtes spécifiquement intéressé par LogType 10 ; RemoteInteractive ; ici, je n'ai pas filtré au cas où les autres types seraient utiles ; mais il est trivial d'ajouter un autre filtre si nécessaire.

Vous devrez également vous assurer que ces journaux sont créés ; pour ce faire :

• Cliquez sur Start
• Sélectionner Control Panel
• Sélectionner Administrative Tools
• オープン Local Security Policy
• Naviguer Security Settings > Advanced Audit Policy Configuration > System Audit Policies - Local Group Policy Object > Logon/Logoff
• Modifier Audit Logon a Success

Outre l'examen des journaux d'événements, la recherche du type de connexion 10 (Bureau à distance) dans le journal de sécurité ou l'examen des journaux d'événements du canal TerminalServices, vous devrez utiliser un logiciel tiers.

Outre TSL mentionné ci-dessus, voici un autre outil que j'ai utilisé avec succès par le passé : Remote Desktop Reporter.

http://www.rdpsoft.com/products

Si vous optez pour une solution tierce, assurez-vous d'en évaluer plusieurs et d'obtenir des devis de chaque fournisseur ... il y a une grande différence de prix - certains fournisseurs fixent un prix par utilisateur nommé, d'autres par utilisateur simultané, et d'autres encore simplement par serveur. Assurez-vous également que la solution est livrée avec sa propre base de données ou avec une version allégée de SQL - sinon vous devrez également payer des frais de licence pour la base de données.

Vous pouvez configurer n'importe quel compte d'utilisateur dans AD pour le contrôle à distance afin de voir ou d'interagir avec la session d'un utilisateur en allant dans l'onglet Utilisateurs dans le Gestionnaire des tâches, en cliquant avec le bouton droit de la souris et en sélectionnant "Contrôle à distance". Vous pouvez alors visualiser la session de l'utilisateur.