Como encontrar o userid originador de uma sessão rdp?

1

Temos algumas contas privilegiadas compartilhadas que agora a segurança de IS deseja rastrear para a pessoa que as usou. Isso é registrado em algum lugar, ou existe uma maneira (preferencialmente usar o Powershell) para encontrá-lo (ou forçar um log de eventos personalizado via login scripts)? Exemplo: o usuário "Joe" está conectado ao seu laptop e abre uma sessão rdp para o servidor "Tuxedo" usando a conta "superusuário". Como faço para acompanhar / encontrar / registrar a correlação entre "Joe" e "superusuário"?

    
por SSchaub 08.09.2016 / 17:33

2 respostas

1

A versão curta é que você não pode. A única coisa com que o protocolo RDP se preocupa é com quem você está se conectando ao servidor remoto. Não há nada no servidor ou no protocolo que possa indicar quem iniciou a conexão, além do endereço IP do cliente.

Se você já tem acesso ao sistema do cliente, o melhor que pode fazer é correlacionar o IP do cliente ao sistema do cliente e verificar os logs do sistema do cliente para ver quem estava logado ao mesmo tempo em que a sessão do RDP foi iniciada. / p>

A melhor solução é parar de usar contas compartilhadas. Mas se houver algum motivo técnico que você precise mantê-los, você deve bloquear o acesso à senha em algum tipo de senha de empresa que audita quem verifica a senha atual e, idealmente, a rotaciona automaticamente depois de fazer o check-in.

    
por 08.09.2016 / 17:44
0

Todos devem usar sua própria conta "superusuário" exclusiva, não uma conta "superusuário" genérica ou de uso geral.

    
por 08.09.2016 / 18:30