|
|
|
|
|
История подключения к удаленному рабочему столу | ☑ | ||
|---|---|---|---|---|
|
0
Andry_Boris
10.04.12
✎
23:55
|
День добрый.
Кто в курсе как просмотреть историю подключений к удаленному рабочему столу... Принимающая сторона MS Server 2003 Ent. подключение через стандартное RDP. С уважением, Андрей |
|||
|
1
Amra
11.04.12
✎
00:03
|
САм то понял что спросил?
|
|||
|
2
Andry_Boris
11.04.12
✎
00:07
|
Понял... а что тут не понятного...
Интересует история/лог подключений по RDP протоколу где его можно откопать в системе. Подключение производилось с W7 -> 2003. Как по мне то должны оставаться логи. Где их искать??? Кто сталкивался??? |
|||
|
3
Лефмихалыч
11.04.12
✎
00:14
|
в логах фиревола. Сначала находишь время и ИП, с которого установили ВПН. Потом по этому ИП и времени ищешь дивёртнутые натом пакеты вида ВНЕШНИЙ_ИП:какойтопорт <> ИП_РДП_СЕРВЕРА:3389
только это мало чем поможет. И, если у примеру сначала одним терминалом на сервер подключились, потом оотуда еще одним терминалом на другую машину, то ты этого не увидишь. |
|||
|
4
Andry_Boris
11.04.12
✎
00:19
|
(3) Логи фиревола на W7 или на 2003???
Возможно ли это увидеть на W7??? |
|||
|
5
Лефмихалыч
11.04.12
✎
00:22
|
(4) логи фиревола, как ни странно, - на фиреволе.
Если дело было в пределах локальной сети, то в общем случае возможностей нет |
|||
|
6
Andry_Boris
11.04.12
✎
00:24
|
(5) Нет. Это внешнее подключение к 2003.
|
|||
|
7
Andry_Boris
11.04.12
✎
00:24
|
через Интернет.
|
|||
|
8
zak555
11.04.12
✎
00:25
|
подскажи на каком IP смотреть
|
|||
|
9
Andry_Boris
11.04.12
✎
00:28
|
(8) В смысле?
|
|||
|
10
Сержант 1С
11.04.12
✎
00:28
|
(9) в смысле дай белвй айпишник своего сервера. Мы сами посмотрим.
|
|||
|
11
zak555
11.04.12
✎
00:28
|
(9) на какой машине нужно определить
|
|||
|
12
zak555
11.04.12
✎
00:29
|
(10) белый-то необязателен
|
|||
|
13
Andry_Boris
11.04.12
✎
00:33
|
подключался к клиенту. IP дать не могу.
Если есть соображения, подскажите где искать. |
|||
|
14
zak555
11.04.12
✎
00:39
|
(13) зажал что ли ?
|
|||
|
15
Andry_Boris
11.04.12
✎
00:43
|
(114) Нет. (не могу)
Если есть соображения, подскажите где искать. |
|||
|
16
zak555
11.04.12
✎
00:45
|
(15) начать с брута, проверить логи отличной прогой
пока как-то так |
|||
|
17
Andry_Boris
11.04.12
✎
00:46
|
(16) Мне не взломать, нужно.
Подключиться я могу. Где на 2003 можно просмотреть логи подключений? В просмотре событий пусто. |
|||
|
18
zak555
11.04.12
✎
00:47
|
(17) "взламывать" никто не может
все только смотрят |
|||
|
19
Холст
11.04.12
✎
00:51
|
(0) посмотреть вход/выход под удаленным юзером, только для этого аудит должен быть включен
|
|||
|
20
Andry_Boris
11.04.12
✎
01:02
|
(19) Вот он как раз и выключен, показывает пусто.
Или ограничены права на просмотр. |
|||
|
21
Сверчок
11.04.12
✎
03:08
|
Прочитать системный журнал и отфильтровать по событиям "Попытка удалённого доступа", "Регистрация в системе", "Завершение сеанса". Меж собой потом вязать события по времени, UID, SID.
Очень муторно, но реально. К сожалению, анализ даже получившейся в результате выборки нетривиален. В частности, фактически невозможно привязать сеансы к IP подключающегося (только к имени пользователя). Впрочем, на крайний случай при учёте этих ограничений -- вполне получается. |
|||
|
22
Сверчок
11.04.12
✎
03:09
|
Ну, а на будущее -- да, включить аудит. В журнале аудита информация станет накапливаться и более полная, и в более удобочитаемой форме.
|
|||
|
23
Andry_Boris
12.04.12
✎
13:53
|
(21) (22) Спасибо.
|
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|