penny.cilin
Goto Top

Herausfinden, wann eine RDP Session gecancelt wurde

Hallo,

Systeminformationen:
aktuell Windows Server 2008 R2 x64
gilt alle Windows Serever Betriebssysteme...

manche Admins, trennen die RDP-Session, statt sich vom Server abzumelden. sic face-sad
Jetzt gilt es herauszufinden, wann eine / diese Session gecancelt wurde und von wem?

Frage: Wo wird das geloggt? Nach welchen Kriterien muss ich in der Ereignisanzeige suchen?

Hintergrund ist, das ab sofort solche Leichen RDP Sessions OHNE Gnade gecancelt werden, wenn KEINE Information vorliegt,

Danke für Eure Hilfe.

Gruss Penny.

Content-ID: 489772

Url: https://administrator.de/forum/herausfinden-wann-eine-rdp-session-gecancelt-wurde-489772.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 29.08.2019 um 16:39:24 Uhr
Goto Top
Zitat von @Penny.Cilin:

manche Admins, trennen die RDP-Session, statt sich vom Server abzumelden. sic face-sad
Jetzt gilt es herauszufinden, wann eine / diese Session gecancelt wurde und von wem?

Frage: Wo wird das geloggt? Nach welchen Kriterien muss ich in der Ereignisanzeige suchen?

Ihr habt nicht verschiedene Admin-Accounts für die verschiedenen (Admin-)Benutzer, sondern eines für alle? Nimm Dir ein Cat9 und wende es auf Dich selbst an. face-smile

lks
DerWoWusste
DerWoWusste 29.08.2019 um 16:43:55 Uhr
Goto Top
Hi.

Erstelle einen geplanten Task, der als Trigger die Trennung wie abgebildet nimmt, als ausführendes Konto "System" nimmt und dann als Aktion eine Batch laufen lässt:
qwinsta>>c:\Logpfad\log.txt
annotation 2019-08-29 163124
Penny.Cilin
Penny.Cilin 29.08.2019 um 16:50:04 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Penny.Cilin:

manche Admins, trennen die RDP-Session, statt sich vom Server abzumelden. sic face-sad
Jetzt gilt es herauszufinden, wann eine / diese Session gecancelt wurde und von wem?

Frage: Wo wird das geloggt? Nach welchen Kriterien muss ich in der Ereignisanzeige suchen?

Ihr habt nicht verschiedene Admin-Accounts für die verschiedenen (Admin-)Benutzer, sondern eines für alle? Nimm Dir ein Cat9 und wende es auf Dich selbst an. face-smile
@Lochkartenstanzer
Ich habe Ironietags schon verstanden. Wir haben verschiedene Administratoren. Und jeder hat seinen Admin-Account. Leider Gottes sind diese Wunderkinder immer zu blöd und trennen die Sessions, statt sich abzumelden. Genauso, wie Installationsmüll hinterlassen wird.
Ich prüfe ab sofort, ob eine getrennte RDP Session auf Server existieren und cancele diese, OHNE Rücksicht auf Datenverlust und Menschenleben.
Wenn nicht eine begründete Information vorliegt, daß in dieser Session evtl. etwas läuft (Migration, Kopiervorgang, usw.).

Mich kotzt diese shice an, weil
1. Unnötig eine RDP Session blockiert wird
2. dies dein Sicherheitsrisiko und möglicherweise ein Verstoß gegen den Datenschutz ist

Ich kläre dies morgen mit unserem Datenschutzbeauftragten ab.
Vom Management ist dies bereits abgesegnet.

Mit meiner Frage geht es nur darum, wie ich herausfinden kann, wann ich welche Benutzer bereits damit gecancelt habe.

lks
Gruss Penny.
Penny.Cilin
Penny.Cilin 29.08.2019 um 17:00:33 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi.

Erstelle einen geplanten Task, der als Trigger die Trennung wie abgebildet nimmt, als ausführendes Konto "System" nimmt und dann als Aktion eine Batch laufen lässt:
qwinsta>>c:\Logpfad\log.txt
annotation 2019-08-29 163124
@dww
Danke für den Tipp. Allerdings nützt mir das jetzt nichts, denn was VOR der Einrichtung deines Scheduled Task gecancelt wurde, das suche ich.
Mal schauen, was noch an Antworten kommen.

Gruss Penny.
erikro
erikro 29.08.2019 um 17:07:01 Uhr
Goto Top
Moin,

das Problem kommt mir ja sowas von bekannt vor. face-wink Guck mal hier:

http://woshub.com/rdp-connection-logs-forensics-windows/

Liebe Grüße

Erik
DerWoWusste
DerWoWusste 29.08.2019 um 17:09:07 Uhr
Goto Top
Verstehe ich nicht. Der Taskmanager zeigt doch schon an, welche Sitzungen disconnected sind und bietet eine Trennung an.
Lochkartenstanzer
Lochkartenstanzer 29.08.2019 um 17:10:28 Uhr
Goto Top
Zitat von @Penny.Cilin:

Mich kotzt diese shice an, weil
1. Unnötig eine RDP Session blockiert wird
2. dies dein Sicherheitsrisiko und möglicherweise ein Verstoß gegen den Datenschutz ist

Dann nimm das Cat9 für die Mit-Admins. face-smile

Den Trigger dazu hat Dir ja schon DWW verraten.

lks
Lochkartenstanzer
Lochkartenstanzer 29.08.2019 um 17:11:34 Uhr
Goto Top
Zitat von @DerWoWusste:

Verstehe ich nicht. Der Taskmanager zeigt doch schon an, welche Sitzungen disconnected sind und bietet eine Trennung an.


Aber wenn zwei "Admins" die Leitungen schon "besetzen" kommt er nicht mehr drauf um in den Taskmanager zu schauen. face-smile

lks
Penny.Cilin
Penny.Cilin 29.08.2019 um 17:15:56 Uhr
Goto Top
Zitat von @DerWoWusste:

Verstehe ich nicht. Der Taskmanager zeigt doch schon an, welche Sitzungen disconnected sind und bietet eine Trennung an.
Ok, dann folgendes Fallbeispíel:
Ich habe vor zwei Tagen auf ServerA eine RDP Session via Task Manager gecancelt. Jetzt will ich in einem Log sehen
a) wenn ich gecancelt habe
b) wann ich diese gecancelt habe

Deine Lösung habe ich auf diesem bis jetzt nicht implementiert.

Vielleciht ist es jetzt verständlicher?

Gruss Penny.
erikro
erikro 29.08.2019 um 17:21:40 Uhr
Goto Top
Zitat von @Penny.Cilin:
Ich habe vor zwei Tagen auf ServerA eine RDP Session via Task Manager gecancelt. Jetzt will ich in einem Log sehen
a) wenn ich gecancelt habe
b) wann ich diese gecancelt habe

Ich fürchte, das geht ohne eingeschaltetes Auditing nicht. Im Standard werden afaik nur erfolgreiche Anmeldungen geloggt.
em-pie
em-pie 29.08.2019 um 17:22:11 Uhr
Goto Top
Moin,

Nur der Verständlichkeit wegen:
Canceln = logoff?
Oder
Canceln = disconnect?

Denn wenn es ein logoff ist, findet sich doch was im Eventlog?
Notfalls, wenn du das logoff auslöst, erstelle doch selbst einen eventlog-Eintrag!?

Oder willst du das ab sofort für rückwirkende Logoffs sehen?

Gruß
em-pie
DerWoWusste
DerWoWusste 29.08.2019 aktualisiert um 17:52:36 Uhr
Goto Top
Ebenso wie em-pie frage ich: "was ist den canceln?". Bitte verwende doch den passenden Begriff.
Ich wüsste nicht, wo überhaupt das Problem liegt, Leute drauf zu lassen. Es wird keine RDP-Sitzung vergeudet, das ist Unsinn. Es können beliebig viele Admins in getrenntem Zustand drauf sein. Und Sicherheit/Datenschutz? Erklär mal, was Du damit meinst.
@lks und Penny
Aber wenn zwei "Admins" die Leitungen schon "besetzen" kommt er nicht mehr drauf um in den Taskmanager zu schauen.
Mumpitz face-smile schaut den Screenshot an:

Und das ist auch gar kein Problem, denn Anwendungen werden ja gar nicht beendet hierbei, alles läuft weiter
emeriks
emeriks 29.08.2019 um 21:12:47 Uhr
Goto Top
Hallo Penny,
wäre es da nicht das einfachste, in den RDP-Einstellungen einzustellen, dass getrennte Sitzungen nach x Minuten abgemeldet werden? Kollegen informieren und fertig.

E.
Penny.Cilin
Penny.Cilin 02.09.2019 um 10:26:43 Uhr
Goto Top
Zitat von @em-pie:

Moin,

Nur der Verständlichkeit wegen:
Canceln = logoff?
Oder
Canceln = disconnect?
Über den Task Manager die die getrennte Session abmelden (logoff).

Denn wenn es ein logoff ist, findet sich doch was im Eventlog?
Notfalls, wenn du das logoff auslöst, erstelle doch selbst einen eventlog-Eintrag!?
OK, muss ich mal genauer im Eventlog nachsehen. Allerdings wird das dauern denn ich mache jetzt erstmal Urlaub

Oder willst du das ab sofort für rückwirkende Logoffs sehen?
Wenn es im Eventlog steht, sollte es auch rückwirkend zu sehen sein.

Gruß
em-pie

Gruss Penny.
Penny.Cilin
Penny.Cilin 02.09.2019 um 10:30:53 Uhr
Goto Top
Zitat von @DerWoWusste:

Ebenso wie em-pie frage ich: "was ist den canceln?". Bitte verwende doch den passenden Begriff.
Jupp Du hast recht ich meine im Task Manager die getrennte Session abmelden.
Ich wüsste nicht, wo überhaupt das Problem liegt, Leute drauf zu lassen. Es wird keine RDP-Sitzung vergeudet, das ist Unsinn. Es können beliebig viele Admins in getrenntem Zustand drauf sein. Und Sicherheit/Datenschutz? Erklär mal, was Du damit meinst.
Ok, um es mit realen Begriffen zu erklären:
Wenn man von einen Serverraum die Tür nicht ordnungsgemäß schließt, obwohl es Anweisungen dazu gibt. Denn wenn man diese Tür offen läft, ist man schneller im Serverraum.
Das ist Blödheit, Dummheit, Faulheit und Unfähigkeit - Kurz Schlamperei.
@lks und Penny
Aber wenn zwei "Admins" die Leitungen schon "besetzen" kommt er nicht mehr drauf um in den Taskmanager zu schauen.
Richtig.
Mumpitz face-smile schaut den Screenshot an:

Und das ist auch gar kein Problem, denn Anwendungen werden ja gar nicht beendet hierbei, alles läuft weiter
Auch richtig. Dazu gibt es aber Serviceaccounts oder man erstellt diese.

Gruss Penny.
DerWoWusste
DerWoWusste 02.09.2019 um 10:39:33 Uhr
Goto Top
Moin.

Nicht dass es mir wichtig wäre, aber folgen kann ich noch immer nicht:
Wenn man von einen Serverraum die Tür nicht ordnungsgemäß schließt, obwohl es Anweisungen dazu gibt
RDP-Sitzungen hinterlassen keine offenen Türen. Der Server ist nicht wirklich unsicherer, wenn noch jemand angemeldet ist. Auch sehe ich keine Verbindung zum Datenschutz.
Dazu gibt es aber Serviceaccounts
Serviceaccounts für Services, ja. Aber hier geht es doch um interaktive Sitzungen.
Penny.Cilin
Penny.Cilin 02.09.2019 um 11:29:51 Uhr
Goto Top
@lks
Um es zu erklären: Von der Geschäftsleitung bzw. beim Audit wurde festgestellt, daß RDP getrennte Sessions aktiv sind.
Es gibt schriftliche Anweisungen, daß RDP Sessions nach der Nutzung unverzüglich ABZUMELDEN Und nicht nur zu trennen sind!!!

D.h. wenn getrennte RDP Sessions erkannt werden, welche mehrere Tage getrennt sind, sind diese abzumelden / canceln.

Wenn Angestellte, welche Berechtigungen für RDP Sessions haben, und zu blöd / zu dumm / zu faul und unfähig sind sich danach von der RDP Session abzumelden, werden diese Sessions zukünfig OHNE Rückfrage gecancelt (abgemeldet).

Gruss Penny.
BrockM
BrockM 25.01.2020 um 12:52:07 Uhr
Goto Top
Hallo Zusammen

Dein Problem wegen RDP Session Logout/Session Cancel ist ein Problem nicht nur bei Admins dies gibt es auch Bei Usern.

Kleiner Tipp : Baue für die Admins Jump Server, dort bindest du ein sogenanntes Logout Script ein. Über diesen Jump Server kann der Admin sich auf andere Server verbinden. Sollte wiedermal der Admin nicht sich sauber vom anderen System Trennen, siehst du den Eintrag auf dem Jump Server.
Und das Script wird automatisch den Admin aus den RDP Sessions ausloggen. Somit hast du eine Saubere Lösung.

Abgesehen davon sollten Admins Wissen wie man sich von Systemen Ausloggt. Ansonsten mal den Jungs auf die Finger Hauen face-wink

Ein richtiger Admin weiß was er tut, ansonsten ist er nur ein fauler User face-smile

Gruß
BrockM