Как узнать, кто и когда подключался к ПК в компании по RDP?

Question

[Антон Чистяков]

Помогите пожалуйста
Пришла такая задача от руководителя.
Нужно узнать за последний месяц, кто подключался к нашей внутренней сети из вне, по каким протоколам и когда
RDP, RTSP, и т.д.
Вообще реально ли такое предоставить, попросили сделать анализ
Буду благодарен за любую помощь.

Comments

[Андрей Ермаченок]

Зачем?
Был инцидент, и вы его расследуете?
Типа, учет рабочего времени, работали ли люди на удаленке?
Начальник решил вас загрузить работой?

[Антон Чистяков]

Андрей Ермаченок, причину данной задачи не знаю, сказал к утру предоставить анализ кто, когда, на какой порт и т.д.
походу последнее

[CityCat4]

Андрей Ермаченок, Хотелка начальника, как обычно :)

Answer 1

[Sergey Ryzhkin]

Внутренний журнал Windows на сервере обладает данной информацией.

Comments

[Антон Чистяков]

Он показывает все подключения? Даже на другие ПК?

[Sergey Ryzhkin]

Нет, он показывает кто подключался на сервер, логи которого вы смотрите.
Если вам нужно смотреть вообще всех входящие извне подключения ко всем внутренним объектам, то у вас должен стоять хорошо настроенный роутер с логами (если вы небольшая компания), или какая-нибудь "стена" (или DLP система), где будет мониторинг всей сетевой активности, к примеру Kerio Control и т.д.

Answer 2

[Drno]

Если нужны все подключения, то смотрите логи Вашего роутера. Или что выступает в роли него.
Если конкретно RDP - то журнал подключения RDP сервера

Comments

[Антон Чистяков]

Этот же журнал показывает только подключения к нему, а мне нужны и другие рабочие машины
т.к. пользователи за своими машинами работали удаленно

[Drno]

Антон Бабушкин, к машинам пользователи как подключались?
полюбому трафф шел через центр роутер, к которому подключены офисные ПК...
или Вы там тим виверов понаставили?)

[Антон Чистяков]

Drno, подключались по RDP, прописаны политики на Zyxel USG60

[Drno]

Антон Бабушкин, ну, в таком случае, смотреть логи Zyxel

[Руслан Федосеев]

и смотреть логи всех компов. У вас же домен, да?

[Антон Чистяков]

Руслан Федосеев, да

[Антон Чистяков]

Руслан Федосеев, нужно это собрать в один файл и предоставить анализ руководителю

[Drno]

Антон Бабушкин, нуууу тут видимо только ручками, если у Вас нет отдельного лог сервера

[Антон Чистяков]

Drno, беда
лог сервера нету

[Sergey Ryzhkin]

Антон Бабушкин, Если не горит то гуглите в сторону ELK-Stack. Можете ради интереса и повышения кругозора начать изучать ее. Завести все логи туда и собирать их в одном месте..

[Антон Чистяков]

Sergey Ryzhkin, горит очень, к утру надо предоставить отчет за прошлый месяц, кто в нашу сеть подключался со внешних адресов и по каким протоколам и портам.
задача похожа - "сделай сейчас то, что не возможно сделать быстро"

[Drno]

Антон Бабушкин, ну это нереально) смотря конечно сколько ПК...
кажите что не было такой задачи - это мониторить, поэтому и данных нету. ставьте задачу, поднимайте сервис, будет мониторинг

[Алексей Харченко]

Как вариант решения - пройтись вручную по журналам системы какого-нибудь компа, куда точно подключались и известно когда, и если нужная информация есть, то запомнить/записать коды событий и/или источники, и ещё какие-нибудь признаки, где есть нужная информация. Ну а потом дело техники - делаем скрипт, например на powershell, который по сети обходит компы, по wmi забирает журналы за последние NN дней, и фильтрует те события, что нужны. Ну и складываем это всё в нужном Вам формате, проще всего в csv файл.

[Drno]

Алексей Харченко, о господи сказал я (как админ)
Баш еще ладно, но повершелл для меня непонятен))
А вообще может поможет человеку, а то прилетит начальство и накажет)

Answer 3

[Andrew AT]

Вот тут гляньте, возможно, что-нибудь пригодится -> Tracking and Analyzing Remote Desktop Activity Log...

Удачи! )))

ЗЫ: У нас начальство тоже такой ерундой мается, когда всех на удаленку отправило. Но у нас RDG развернут и все коннектятся через него. Там в логах все есть.

Answer 4

[CityCat4]

В логах винды все должно быть. Правда не знаю, причем тут RTSP - потоковый протокол реального времени, по которому обычно голос идет в IP-телефонии :)

Answer 5

[Алекс]

Если нужно фильтровать RDP по маске IP адресов — Разрешать обычный доступ для всех пользователей при подключении из локальной сети (LAN) тогда как для подключений из внешней сети (WAN) требовать предъявление 2ФА одноразового пароля либо электронного ключа.
www.rohos.ru/2015/03/terminal-server-login-by-sms-otp (платно)