Quelques utilisateurs se sont connectés à un serveur via RDP.
Je souhaite suivre l'activité mais je ne connais pas très bien Windows Server.
J'espère qu'il existe des registres que je pourrais consulter.
Des idées ? :)
Réponses
Trop de publicités?
Sum None
Points
111
J'ai parcouru la plupart des réponses gratuites/abordables de cette page et j'ai cherché ailleurs (pendant des jours, y compris en lisant les journaux d'événements mentionnés par Andy Bichler) et voici un autre outil gratuit de surveillance et de blocage de RDP :
http://www.tweaking.com/content/page/remote_desktop_ip_monitor_blocker.html
Je ne l'ai pas testé de manière approfondie, mais je l'ai téléchargé et scanné (la version portable) et, bien que l'interface utilisateur soit un peu moche, il fonctionne sur un serveur 2012 R2 sans problème jusqu'à présent. C'est un peu "pratique", mais c'est aussi une évidence et c'est mieux que de déchiffrer les journaux d'événements.
Il y a aussi ts_block qui vous permet de bloquer automatiquement les IP qui forcent brutalement le RDP de votre serveur (qui, je suppose, doit avoir un journal des tentatives de RDP) :
https://github.com/EvanAnderson/ts_block
Comme vous pouvez le voir dans ce lien, l'auteur est un utilisateur de serverfault. Je ne l'ai pas testé car il s'agit essentiellement d'un vbscript que je devrais disséquer avant de l'utiliser. Mais cela semble prometteur.
Le problème des journaux d'événements mentionnés par Andy ci-dessus est qu'ils ne sont pas très clairs ou descriptifs quant à qui fait quoi... du moins dans un sens malveillant. On peut trouver des adresses IP, mais il est alors difficile de dire si elles sont liées à toutes les tentatives de connexion infructueuses. Par conséquent, un autre outil que les journaux inhérents semble presque obligatoire si votre serveur est orienté vers l'internet et que vous avez des préoccupations en matière de sécurité.
imguest
Points
1
kmf
Points
335
Lorsque je travaillais comme administrateur il y a quelques années, j'avais le même problème que vous, je voulais surveiller toutes les personnes qui se connectaient via le RDP et savoir exactement quand et si elles étaient actives ou inactives.
J'ai évalué plusieurs produits mais j'ai décidé qu'aucun d'entre eux n'était assez bon pour moi et j'ai donc construit le mien (le problème était que tous les produits avaient une sorte d'agent ou de service pour collecter les données, et la solution que j'ai construite utilise l'API TS pour se connecter à distance à un serveur distant et extraire les données sans aucun agent). Le produit s'appelle maintenant syskit (ou TSL comme Jim l'a mentionné) et il est largement utilisé dans le monde entier :D
Vous pouvez vérifier les activités des utilisateurs aquí
Amruth Kuntamalla
Points
1
- Réponses précédentes
- Plus de réponses
