Как узнать информацию о RDP сесии? / Windows

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Windows [игнор отключен] [закрыт для гостей] / Как узнать информацию о RDP сесии?

1 сообщений из 1, страница 1 из 1

Как узнать информацию о RDP сесии?

#39949370

listtoview

Участник

Сообщения: 2 535

Рейтинг: 0 / 0

Доменный пользователь может подключиться по RDP к другому компьютеру под другим пользователем.
Нужно вести журнал подключений.
Нужно знать кто, когда и под каким пользователем куда подключался.

На просторах интернета есть несколько скриптов на базе wtsapi32.dll
Но не один из них не дает информацию о пользователе источнике. И в журналах на целевом компьютере есть только пользователь под которым на этот компьютер вошли.

В журналах безопасности компьютера источника есть такая информация.
Но как связать эти два журнала на разных машинах?
У них нет общих идентификаторов, разве что примерно одинаковое время.

Компьютер-назначения:

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>4778</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12551</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8020000000000000</Keywords>
        <TimeCreated SystemTime="2020-04-21T09:14:33.733002000Z" />
        <EventRecordID>5692673</EventRecordID>
        <Correlation ActivityID="{D2EE9B79-1453-0000-A79B-EED25314D601}" />
        <Execution ProcessID="592" ThreadID="3312" />
        <Channel>Security</Channel>
        <Computer>компНазн.доменНазн.ru</Computer>
        <Security />
    </System>
    <EventData>
        <Data Name="AccountName">LocAdm</Data>
        <Data Name="AccountDomain">компНазн</Data>
        <Data Name="LogonID">0x8ad52ac</Data>
        <Data Name="SessionName">RDP-Tcp#35</Data>
        <Data Name="ClientName">компИст</Data>
        <Data Name="ClientAddress">IPИст</Data>
    </EventData>
</Event>

Компьютер-источник:

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>4648</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12544</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8020000000000000</Keywords>
        <TimeCreated SystemTime="2020-04-21T09:14:29.785434600Z" />
        <EventRecordID>63322013</EventRecordID>
        <Correlation ActivityID="{46643EF1-122B-000A-F63E-64462B12D601}" />
        <Execution ProcessID="868" ThreadID="2552" />
        <Channel>Security</Channel>
        <Computer>компИст.доменИст.ru</Computer>
        <Security />
    </System>
    <EventData>
        <Data Name="SubjectUserSid">S-1-5-21-4226975293-422037779-2433968144-15545</Data>
        <Data Name="SubjectUserName">ПОЛЬЗОВАТЕЛЬ_ИСТОЧНИК_КАК РАЗ ОН И НУЖЕН</Data> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
        <Data Name="SubjectDomainName">доменИст</Data>
        <Data Name="SubjectLogonId">0x2111e8</Data>
        <Data Name="LogonGuid">{DB8277CB-2AF1-70A9-D04F-AD1CEF57FFD1}</Data>
        <Data Name="TargetUserName">LocAdm</Data>
        <Data Name="TargetDomainName">компНазн</Data>
        <Data Name="TargetLogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
        <Data Name="TargetServerName">компНазн.доменНазн.ru</Data>
        <Data Name="TargetInfo">компНазн.доменНазн.ru</Data>
        <Data Name="ProcessId">0x364</Data>
        <Data Name="ProcessName">C:\Windows\System32\lsass.exe</Data>
        <Data Name="IpAddress">-</Data>
        <Data Name="IpPort">-</Data>
    </EventData>
</Event>

Пригодятся любые советы, спасибо.

...

Рейтинг:

0 / 0

21.04.2020, 14:41

| Ответить | Цитировать | Написать

1 сообщений из 1, страница 1 из 1

Форумы / Windows [игнор отключен] [закрыт для гостей] / Как узнать информацию о RDP сесии?

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=26&msg=39949370&tid=1492231]:	0ms
get settings:	10ms
get forum list:	14ms
check forum access:	4ms
check topic access:	4ms
track hit:	160ms
get topic data:	12ms
get forum data:	3ms
get page messages:	43ms
get tp. blocked users:	1ms
others:	238ms

total:	489ms