Доменный пользователь может подключиться по RDP к другому компьютеру под другим пользователем.
Нужно вести журнал подключений.
Нужно знать кто, когда и под каким пользователем куда подключался.
На просторах интернета есть несколько скриптов на базе wtsapi32.dll
Но не один из них не дает информацию о пользователе источнике. И в журналах на целевом компьютере есть только пользователь под которым на этот компьютер вошли.
В журналах безопасности компьютера источника есть такая информация.
Но как связать эти два журнала на разных машинах?
У них нет общих идентификаторов, разве что примерно одинаковое время.
Компьютер-назначения:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4778</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12551</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2020-04-21T09:14:33.733002000Z" />
<EventRecordID>5692673</EventRecordID>
<Correlation ActivityID="{D2EE9B79-1453-0000-A79B-EED25314D601}" />
<Execution ProcessID="592" ThreadID="3312" />
<Channel>Security</Channel>
<Computer>компНазн.доменНазн.ru</Computer>
<Security />
</System>
<EventData>
<Data Name="AccountName">LocAdm</Data>
<Data Name="AccountDomain">компНазн</Data>
<Data Name="LogonID">0x8ad52ac</Data>
<Data Name="SessionName">RDP-Tcp#35</Data>
<Data Name="ClientName">компИст</Data>
<Data Name="ClientAddress">IPИст</Data>
</EventData>
</Event>
Компьютер-источник:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4648</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2020-04-21T09:14:29.785434600Z" />
<EventRecordID>63322013</EventRecordID>
<Correlation ActivityID="{46643EF1-122B-000A-F63E-64462B12D601}" />
<Execution ProcessID="868" ThreadID="2552" />
<Channel>Security</Channel>
<Computer>компИст.доменИст.ru</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-21-4226975293-422037779-2433968144-15545</Data>
<Data Name="SubjectUserName">ПОЛЬЗОВАТЕЛЬ_ИСТОЧНИК_КАК РАЗ ОН И НУЖЕН</Data> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<Data Name="SubjectDomainName">доменИст</Data>
<Data Name="SubjectLogonId">0x2111e8</Data>
<Data Name="LogonGuid">{DB8277CB-2AF1-70A9-D04F-AD1CEF57FFD1}</Data>
<Data Name="TargetUserName">LocAdm</Data>
<Data Name="TargetDomainName">компНазн</Data>
<Data Name="TargetLogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TargetServerName">компНазн.доменНазн.ru</Data>
<Data Name="TargetInfo">компНазн.доменНазн.ru</Data>
<Data Name="ProcessId">0x364</Data>
<Data Name="ProcessName">C:\Windows\System32\lsass.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
Пригодятся любые советы, спасибо.
