Windows
如何找到 rdp 會話的原始使用者 ID?
我們有一些共享特權帳戶,IS Security 現在希望能夠追踪到使用它們的人。是在某處記錄的,還是有辦法(最好使用 Powershell)找到它(或通過登錄腳本強制自定義事件日誌)?範例:使用者“Joe”登錄到他的筆記型電腦,然後使用“超級使用者”帳戶打開到伺服器“Tuxedo”的 rdp 會話。如何跟踪/查找/記錄“Joe”和“超級使用者”之間的相關性?
簡短的版本是你不能。RDP 協議唯一關心的是您連接到遠端伺服器的身份。除了客戶端的 IP 地址之外,伺服器或協議中沒有任何內容可以告訴您是誰發起了連接。
如果您已經可以訪問客戶端系統,您可以做的最好的事情是將客戶端 IP 與客戶端系統相關聯,並檢查客戶端系統的日誌以查看在 RDP 會話啟動的同時登錄的使用者。
更好的解決方案是停止使用共享帳戶。但是,如果出於某種技術原因需要保留它們,您應該在某種企業密碼庫中對密碼進行訪問,該密碼庫會審核誰簽出目前密碼,理想情況下會在重新簽入後自動輪換。