Windows

遠端桌面到本地 PC

  • November 10, 2014

在我們的組織中,我們有一個控制項可以監視使用高權限 Active Directory 帳戶的使用者 RDP 進入我們網路上的任何伺服器或工作站。

我最近啟用了此控制項,該控制項使用特定過濾器查看與 Windows 終端服務相關的日誌,用於我們域上的高權限訪問帳戶。

有幾個有用的日誌表明使用者使用這些帳戶進行 RDP,但也有幾個日誌表明 RDP 活動,但“源網路地址”欄位是“本地”。

這是一個範例日誌(已清除敏感資訊):

Microsoft-Windows-TerminalServices-LocalSessionManager/ Operational,01/08/2014,13:31:45 PM,Microsoft-Windows-TerminalServices-LocalSessionManager,21,Information,N/A,None,N/A,comptername.domain.com ,IP:1.1.1.1,21,遠端桌面服務:會話登錄成功:使用者:域\highaccessaccount 會話ID:1源網路地址:LOCAL

我的問題是,有沒有人看到任何與此類似的日誌,是否有人知道使用者如何生成此日誌,目的地是本地機器?

我剛剛在 Windows Server 2008 R2 上驗證了這一點。那是直接到控制台的本地登錄。

它不是mstsc /admin與控制台會話的連接(它的會話 ID 永遠不會為 1)。

引用自:https://serverfault.com/questions/643257