Herausfinden, wann eine RDP Session gecancelt wurde
Hallo,
Systeminformationen:
aktuell Windows Server 2008 R2 x64
gilt alle Windows Serever Betriebssysteme...
manche Admins, trennen die RDP-Session, statt sich vom Server abzumelden. sic
Jetzt gilt es herauszufinden, wann eine / diese Session gecancelt wurde und von wem?
Frage: Wo wird das geloggt? Nach welchen Kriterien muss ich in der Ereignisanzeige suchen?
Hintergrund ist, das ab sofort solche Leichen RDP Sessions OHNE Gnade gecancelt werden, wenn KEINE Information vorliegt,
Danke für Eure Hilfe.
Gruss Penny.
Systeminformationen:
aktuell Windows Server 2008 R2 x64
gilt alle Windows Serever Betriebssysteme...
manche Admins, trennen die RDP-Session, statt sich vom Server abzumelden. sic
Jetzt gilt es herauszufinden, wann eine / diese Session gecancelt wurde und von wem?
Frage: Wo wird das geloggt? Nach welchen Kriterien muss ich in der Ereignisanzeige suchen?
Hintergrund ist, das ab sofort solche Leichen RDP Sessions OHNE Gnade gecancelt werden, wenn KEINE Information vorliegt,
Danke für Eure Hilfe.
Gruss Penny.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 489772
Url: https://administrator.de/forum/herausfinden-wann-eine-rdp-session-gecancelt-wurde-489772.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
18 Kommentare
Neuester Kommentar
Zitat von @Penny.Cilin:
manche Admins, trennen die RDP-Session, statt sich vom Server abzumelden. sic
Jetzt gilt es herauszufinden, wann eine / diese Session gecancelt wurde und von wem?
Frage: Wo wird das geloggt? Nach welchen Kriterien muss ich in der Ereignisanzeige suchen?
manche Admins, trennen die RDP-Session, statt sich vom Server abzumelden. sic
Jetzt gilt es herauszufinden, wann eine / diese Session gecancelt wurde und von wem?
Frage: Wo wird das geloggt? Nach welchen Kriterien muss ich in der Ereignisanzeige suchen?
Ihr habt nicht verschiedene Admin-Accounts für die verschiedenen (Admin-)Benutzer, sondern eines für alle? Nimm Dir ein Cat9 und wende es auf Dich selbst an.
lks
Moin,
das Problem kommt mir ja sowas von bekannt vor. Guck mal hier:
http://woshub.com/rdp-connection-logs-forensics-windows/
Liebe Grüße
Erik
das Problem kommt mir ja sowas von bekannt vor. Guck mal hier:
http://woshub.com/rdp-connection-logs-forensics-windows/
Liebe Grüße
Erik
Zitat von @Penny.Cilin:
Mich kotzt diese shice an, weil
1. Unnötig eine RDP Session blockiert wird
2. dies dein Sicherheitsrisiko und möglicherweise ein Verstoß gegen den Datenschutz ist
Mich kotzt diese shice an, weil
1. Unnötig eine RDP Session blockiert wird
2. dies dein Sicherheitsrisiko und möglicherweise ein Verstoß gegen den Datenschutz ist
Dann nimm das Cat9 für die Mit-Admins.
Den Trigger dazu hat Dir ja schon DWW verraten.
lks
Zitat von @DerWoWusste:
Verstehe ich nicht. Der Taskmanager zeigt doch schon an, welche Sitzungen disconnected sind und bietet eine Trennung an.
Verstehe ich nicht. Der Taskmanager zeigt doch schon an, welche Sitzungen disconnected sind und bietet eine Trennung an.
Aber wenn zwei "Admins" die Leitungen schon "besetzen" kommt er nicht mehr drauf um in den Taskmanager zu schauen.
lks
Zitat von @Penny.Cilin:
Ich habe vor zwei Tagen auf ServerA eine RDP Session via Task Manager gecancelt. Jetzt will ich in einem Log sehen
a) wenn ich gecancelt habe
b) wann ich diese gecancelt habe
Ich habe vor zwei Tagen auf ServerA eine RDP Session via Task Manager gecancelt. Jetzt will ich in einem Log sehen
a) wenn ich gecancelt habe
b) wann ich diese gecancelt habe
Ich fürchte, das geht ohne eingeschaltetes Auditing nicht. Im Standard werden afaik nur erfolgreiche Anmeldungen geloggt.
Ebenso wie em-pie frage ich: "was ist den canceln?". Bitte verwende doch den passenden Begriff.
Ich wüsste nicht, wo überhaupt das Problem liegt, Leute drauf zu lassen. Es wird keine RDP-Sitzung vergeudet, das ist Unsinn. Es können beliebig viele Admins in getrenntem Zustand drauf sein. Und Sicherheit/Datenschutz? Erklär mal, was Du damit meinst.
@lks und Penny
Und das ist auch gar kein Problem, denn Anwendungen werden ja gar nicht beendet hierbei, alles läuft weiter
Ich wüsste nicht, wo überhaupt das Problem liegt, Leute drauf zu lassen. Es wird keine RDP-Sitzung vergeudet, das ist Unsinn. Es können beliebig viele Admins in getrenntem Zustand drauf sein. Und Sicherheit/Datenschutz? Erklär mal, was Du damit meinst.
@lks und Penny
Aber wenn zwei "Admins" die Leitungen schon "besetzen" kommt er nicht mehr drauf um in den Taskmanager zu schauen.
Mumpitz schaut den Screenshot an:Und das ist auch gar kein Problem, denn Anwendungen werden ja gar nicht beendet hierbei, alles läuft weiter
Moin.
Nicht dass es mir wichtig wäre, aber folgen kann ich noch immer nicht:
Nicht dass es mir wichtig wäre, aber folgen kann ich noch immer nicht:
Wenn man von einen Serverraum die Tür nicht ordnungsgemäß schließt, obwohl es Anweisungen dazu gibt
RDP-Sitzungen hinterlassen keine offenen Türen. Der Server ist nicht wirklich unsicherer, wenn noch jemand angemeldet ist. Auch sehe ich keine Verbindung zum Datenschutz.Dazu gibt es aber Serviceaccounts
Serviceaccounts für Services, ja. Aber hier geht es doch um interaktive Sitzungen.
Hallo Zusammen
Dein Problem wegen RDP Session Logout/Session Cancel ist ein Problem nicht nur bei Admins dies gibt es auch Bei Usern.
Kleiner Tipp : Baue für die Admins Jump Server, dort bindest du ein sogenanntes Logout Script ein. Über diesen Jump Server kann der Admin sich auf andere Server verbinden. Sollte wiedermal der Admin nicht sich sauber vom anderen System Trennen, siehst du den Eintrag auf dem Jump Server.
Und das Script wird automatisch den Admin aus den RDP Sessions ausloggen. Somit hast du eine Saubere Lösung.
Abgesehen davon sollten Admins Wissen wie man sich von Systemen Ausloggt. Ansonsten mal den Jungs auf die Finger Hauen
Ein richtiger Admin weiß was er tut, ansonsten ist er nur ein fauler User
Gruß
BrockM
Dein Problem wegen RDP Session Logout/Session Cancel ist ein Problem nicht nur bei Admins dies gibt es auch Bei Usern.
Kleiner Tipp : Baue für die Admins Jump Server, dort bindest du ein sogenanntes Logout Script ein. Über diesen Jump Server kann der Admin sich auf andere Server verbinden. Sollte wiedermal der Admin nicht sich sauber vom anderen System Trennen, siehst du den Eintrag auf dem Jump Server.
Und das Script wird automatisch den Admin aus den RDP Sessions ausloggen. Somit hast du eine Saubere Lösung.
Abgesehen davon sollten Admins Wissen wie man sich von Systemen Ausloggt. Ansonsten mal den Jungs auf die Finger Hauen
Ein richtiger Admin weiß was er tut, ansonsten ist er nur ein fauler User
Gruß
BrockM