Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Компьютеры и программы

Мониторинг удалённых попыток входа в систему на Windows 8 через Просмотр событий

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Определение события, связанных с запросом о входе
  4. 2. Альтернативные способы мониторинга попыток входа
  5. 1. Мониторинг событий безопасности:
  6. 2. Настройка отслеживания с помощью групповых политик:
  7. 3. Использование PowerShell:
  8. 3. Создание логов о попытках входа
  9. Заключение

Вопрос или проблема

Мы используем тестовый ПК под названием pc-test, работающий на Windows 8 (Версия 6.3, Сборка 9600). К этому устройству имеют доступ несколько пользователей, но в любой момент времени только один пользователь может подключиться. Мы включили удаленное подключение к рабочему столу на этом ПК.

Вот ситуация:

Когда один пользователь (например, abc) вошел в систему на тестовом ПК, и другой пользователь (например, xyz) по незнанию пытается получить к нему доступ, на экране пользователя abc появляется сообщение:

“На этом компьютере в данный момент уже вошел другой пользователь. Если вы продолжите, этому пользователю придется отключиться от этого компьютера. Вы хотите продолжить?”

Это сообщение дает 30 секунд на то, чтобы разрешить или отклонить соединение.
Мы хотим отслеживать, сколько раз пользователи пытаются войти на pc-test, пока он используется.
В частности, мы ищем:

1. Есть ли какой-либо идентификатор события (Event ID), который регистрирует, когда это сообщение генерируется на ПК пользователя abc?
2. Если нет конкретного идентификатора события для этого сообщения, какой лучший способ мониторинга попыток входа на тот же ПК, особенно когда другой пользователь уже вошел в систему?

Это связано с тем, что у нас есть требование фиксировать такие случаи и подсчитывать количество случаев, когда это сообщение отображается. Мы хотели бы, чтобы это сообщение оставалось, поэтому отключение уведомления и разрешение другому пользователю подключиться напрямую, отключив сессию предыдущего пользователя, не является вариантом.

Мы уже рассмотрели журналы событий, но неясно, регистрируется ли эта конкретная попытка входа (с уведомлением).

Список идентификаторов событий, которые мы проверили: 4624, 4625, 4634 в безопасности Microsoft Windows.

Будем признательны за любую помощь или рекомендации по тому, какие идентификаторы событий отслеживать или альтернативные методы для отслеживания этих попыток входа!

Заранее благодарим за вашу помощь.

Ответ или решение

Чтобы контролировать попытки удаленного входа на компьютер под управлением Windows 8 с включенной функцией удаленного рабочего стола, можно воспользоваться средством «Просмотр событий» (Event Viewer). Ниже приведены рекомендации по мониторингу и отслеживанию этих попыток.

1. Определение события, связанных с запросом о входе

К сожалению, в Windows 8 нет конкретного события, которое записывало бы момент появления сообщения о том, что другой пользователь уже вошел в систему и появляется возможность подключения. Мы не нашли идентификатора события, который фиксировал бы создание этого всплывающего сообщения.

2. Альтернативные способы мониторинга попыток входа

Хотя конкретного идентификатора события для этого нет, вы можете отслеживать попытки входа, используя следующие методы:

1. Мониторинг событий безопасности:

  • Event ID 4624 (Успешный вход в систему): Этот идентификатор события фиксирует успешные попытки входа, включая удаленные входы.
  • Event ID 4625 (Неуспешный вход в систему): Это событие фиксирует неудачные попытки входа.

Вы должны настраивать фильтрацию событий по этим идентификаторам. Для этого откройте Просмотр событий, перейдите в Журналы Windows → Безопасность и используйте поиск или фильтрацию по событиям.

2. Настройка отслеживания с помощью групповых политик:

Вы можете настроить журналы для отслеживания всех попыток входа, что поможет вам в дальнейшем анализе:

  1. Откройте «Редактор локальной групповой политики» (gpedit.msc).
  2. Перейдите по пути Конфигурация компьютера → Настройки Windows → Настройки безопасности → Локальные политики → Аудит.
  3. Включите Аудит входа в систему для успешных и неуспешных входов.

Это увеличит ваше логирование, но также и увеличит объем данных в журналах.

3. Использование PowerShell:

Вы можете создать скрипт на PowerShell для мониторинга событий в журналах:

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625} -MaxEvents 100 | Where-Object { $_.Properties[8].Value -eq "YourPCName" } | Select-Object TimeCreated, Message

Этот скрипт отобразит последние 100 событий входа для вашего компьютера.

3. Создание логов о попытках входа

Вы можете также использовать системный журнал для создания отчетов о входах и попытках входа. Создание и ведение собственных логов поможет в дальнейшем окончательно зафиксировать количество попыток входа во время работы другого пользователя.

Заключение

Для вашей задачи оптимальнее будет использовать комбинацию мониторинга событий входа через Event Viewer и настройки аудита, чтобы зафиксировать все потенциально важные события. Это волей-неволей создаст более полное представление о попытках входа на ваш компьютер, даже если они не фиксируются напрямую в виде появляющегося запроса о входе.

Надеюсь, эти рекомендации помогут вам в вашей задаче по мониторингу удаленных попыток входа.

event-log event-viewer remote-desktop windows-8
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности