Remotedesktop Logging

Mitglied: Voiper

Voiper (Level 2) - Jetzt verbinden

01.03.2018, aktualisiert 15:40 Uhr, 1573 Aufrufe, 5 Kommentare

Moin Zusammen,

mal wieder was zum leidigen Thema DSGVO...

Bei uns war heute der Datenschützer im Haus und hat folgende Anforderung gestellt (Die die GL natürlich sofort haben will):

"Wenn man sich per Remotedesktop beim User anmeldet (z.B. bei den gehosteten Terminalservern), dann muss geloggt werden, welcher User die Verbindung aufgebaut hat. Da fast immer ein service-Account genutzt wird, ist das nicht granular genug. Es muss direkt ersichtlich sein, welcher Techniker die Verbindung aufgebaut hat"


Habt Ihr dafür eine Lösung? Bei Teamviewer funktioniert das genau so...würde mich aber jetzt ungern auf ein externes Produkt verlassen müssen.

Gibt es eine Art Remotegateway, bei dem ich mich mit meinem User anmelde und dann von da per RDP rausgehe? Oder eine Art Proxy, der meine Verbindung loggt?

Danke und Gruß,

V
Mitglied: Dani
01.03.2018 um 23:07 Uhr
Guten Abend,
ich habe den Beitrag heute Nachmittag, heute Abend und eben nochmals gelesen. Leider kann ich dir immer noch nicht folgen. Kannst du evtl. deine Ausgangslage nochmals anders beschreiben, damit ich es endlich verstehe? :-) face-smile


Gruß,
Dani
Bitte warten ..
Mitglied: maretz
02.03.2018 um 05:42 Uhr
Moin, es wird doch auf der Zielmaschine bereits (so es ein Win-Server ist) geloggt welcher User sich von welcher Maschine angemeldet hat. Damit hast du doch schon die Infos - oder habt ihr geteilte PCs?
Bitte warten ..
Mitglied: SlainteMhath
02.03.2018 um 08:00 Uhr
Moin,

ich bin auch bei @maretz. Zusätzlich müssen dann noch die Sammelaccounts aufgelöst und ein benannter User Accounts pro Person angelegt werden - Fertig.

Oder du machst das per Gateway - da gibt's mWn aber nur Lösungen die was kosten - SecretServer von Thycotic kann das u.A.

lg,
Slainte
Bitte warten ..
Mitglied: it-frosch
02.03.2018 um 12:45 Uhr
Hallo Voiper,

wenn die Maschinen der User im AD sind,
1. Gruppe aller Techniker erstellen und diese in die lokale Gruppe der Administratoren einfügen.
2. für diese gruppe RDP Zugriff erlauben.
3. jetzt kannst du genau den Techniker loggen der sich mit dem User PC verbunden hat.

grüße vom it-frosch
Bitte warten ..
Mitglied: Voiper
02.03.2018 um 17:48 Uhr
Zitat von @Dani:

Guten Abend,
ich habe den Beitrag heute Nachmittag, heute Abend und eben nochmals gelesen. Leider kann ich dir immer noch nicht folgen. Kannst du evtl. deine Ausgangslage nochmals anders beschreiben, damit ich es endlich verstehe? :-) face-smile


Gruß,
Dani

Gerne. Wir sind Dienstleister und haben ein eigenes kleines RZ. Dadurch kommen wir von unserem Netz aus einfach per RDP auf die Server der Kunden. Da wir mit unseren Firmenaccounts aber nicht auf den einzelnen AD's der Kunden sind, gibt es meist nur einen Service-Account für RDP. Dadurch wird aber nicht genau protokolliert, wer von uns genau per RDP auf dem Server war, da auch unsere Rechner nicht im AD der Kunden zu finden sind.

Wir möchten nun, dass aufgeschlüsselt werden kann, wer von uns sich per RDP des Service-Accounts bedient hat und das möglichst wann und wie lange. Das sollte aber nicht auf den Rechnern der Techniker passieren, sondern möglichst auf den Kundenservern oder auf einem zentralen Gateway, auf dem wir uns vorher mit eindeutigen Accounts anmelden und das unsere Wartungs-Sessions protokolliert (Login, Dauer, LogOff).

Zitat von @maretz:

Moin, es wird doch auf der Zielmaschine bereits (so es ein Win-Server ist) geloggt welcher User sich von welcher Maschine angemeldet hat. Damit hast du doch schon die Infos - oder habt ihr geteilte PCs?

Wichtig wäre tatsächlich der Username ;)

Zitat von @SlainteMhath:

Moin,

ich bin auch bei @maretz. Zusätzlich müssen dann noch die Sammelaccounts aufgelöst und ein benannter User Accounts pro Person angelegt werden - Fertig.

Oder du machst das per Gateway - da gibt's mWn aber nur Lösungen die was kosten - SecretServer von Thycotic kann das u.A.

lg,
Slainte

Kosten sollen hier kein Problem darstellen. Die Sammelaccounts sollen eben nicht aufgelöst werden.


Zitat von @it-frosch:

Hallo Voiper,

wenn die Maschinen der User im AD sind,
1. Gruppe aller Techniker erstellen und diese in die lokale Gruppe der Administratoren einfügen.
2. für diese gruppe RDP Zugriff erlauben.
3. jetzt kannst du genau den Techniker loggen der sich mit dem User PC verbunden hat.

grüße vom it-frosch


Maschinen sind nicht im AD, da wir nur Dienstleister mit quasi "Fremdrechnern" sind.
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Erklärung zu diesen Geräten
RoadmaxVor 1 TagFrageRouter & Routing7 Kommentare

Hallo Zusammen, bei uns war heute spontan das Internet weg und wir mussten die Carrier Geräte neu starten. Mir stellt sich die Frage, welches ...

Viren und Trojaner
Emotet angeblich unschädlich gemacht
DoskiasVor 14 StundenInformationViren und Trojaner14 Kommentare

Hallo zusammen, kam grade rein. Wir werden sehen ob es stimmt: Eilmeldung Bundeskriminalamt: Weltweit gefährlichste Schadsoftware unschädlich gemacht Stand: 27.01.2021 13:18 Uhr Deutsche Ermittler ...

Erkennung und -Abwehr
GDATA oder Defender in MS W10-Umgebung?
winackerVor 1 TagFrageErkennung und -Abwehr7 Kommentare

Hallo, seit Jahren habe ich eine Firmenlizenz des GDATA-AV. Die ist nun wieder zur Verlängerung fällig und ich frage mich ob das noch Sinn ...

Firewall
PfSense als Exposed Host hinter FritzBox 6591 Cable
SMT000Vor 1 TagFrageFirewall6 Kommentare

Hallo zusammen, ich kenne mich mit dem Thema leider nicht gut aus und habe deshalb einige Verständnisfragen. Vorab, ich hab hier eine FritzBox 6591 ...

Windows Update
Clients melden sich nicht selbständig am WSUS Server
BPeterVor 1 TagFrageWindows Update11 Kommentare

Hallo, ich habe einen Windows Server 2019 WSUS in unserem AD eingerichtet. Die Clientkonfig übertrage ich per Group Policy. Sie wird auch vom Client ...

Exchange Server
5.4.1 Recipient address rejected: Access denied. AS(201806281)
gelöst DeclarationVor 1 TagFrageExchange Server5 Kommentare

Hallo im Unternehmen ist Microsoft 365 business installiert inclusice AD Syncronisierung bei 10 MA . Bis Samstag lief der Exchange perfekt. Seitdem bekommt ein ...

Windows Server
Server "Soft-RAID"
EckiD1Vor 1 TagFrageWindows Server7 Kommentare

Hi, ich habe an einem Hyper-V Host (WS 2019 Standard) mehrer NVMe am HBA die ich zu einem RAID verbinden möchte. Nur für das ...

Windows Server
Benutzer und Postfach über AD erstellen
Igdirli76Vor 1 TagFrageWindows Server10 Kommentare

Hallo Leute, bitte erschießt mich nicht gleich wegen meiner frage. Ich habe einen Windows Server 2019 Datacenter installiert und wollte beim User erstellen, dass ...