voiper
Goto Top

Remotedesktop Logging

Moin Zusammen,

mal wieder was zum leidigen Thema DSGVO...

Bei uns war heute der Datenschützer im Haus und hat folgende Anforderung gestellt (Die die GL natürlich sofort haben will):

"Wenn man sich per Remotedesktop beim User anmeldet (z.B. bei den gehosteten Terminalservern), dann muss geloggt werden, welcher User die Verbindung aufgebaut hat. Da fast immer ein service-Account genutzt wird, ist das nicht granular genug. Es muss direkt ersichtlich sein, welcher Techniker die Verbindung aufgebaut hat"


Habt Ihr dafür eine Lösung? Bei Teamviewer funktioniert das genau so...würde mich aber jetzt ungern auf ein externes Produkt verlassen müssen.

Gibt es eine Art Remotegateway, bei dem ich mich mit meinem User anmelde und dann von da per RDP rausgehe? Oder eine Art Proxy, der meine Verbindung loggt?

Danke und Gruß,

V

Content-ID: 366612

Url: https://administrator.de/forum/remotedesktop-logging-366612.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

Dani
Dani 01.03.2018 um 23:07:30 Uhr
Goto Top
Guten Abend,
ich habe den Beitrag heute Nachmittag, heute Abend und eben nochmals gelesen. Leider kann ich dir immer noch nicht folgen. Kannst du evtl. deine Ausgangslage nochmals anders beschreiben, damit ich es endlich verstehe? face-smile


Gruß,
Dani
maretz
maretz 02.03.2018 um 05:42:35 Uhr
Goto Top
Moin, es wird doch auf der Zielmaschine bereits (so es ein Win-Server ist) geloggt welcher User sich von welcher Maschine angemeldet hat. Damit hast du doch schon die Infos - oder habt ihr geteilte PCs?
SlainteMhath
SlainteMhath 02.03.2018 um 08:00:35 Uhr
Goto Top
Moin,

ich bin auch bei @maretz. Zusätzlich müssen dann noch die Sammelaccounts aufgelöst und ein benannter User Accounts pro Person angelegt werden - Fertig.

Oder du machst das per Gateway - da gibt's mWn aber nur Lösungen die was kosten - SecretServer von Thycotic kann das u.A.

lg,
Slainte
it-frosch
it-frosch 02.03.2018 um 12:45:39 Uhr
Goto Top
Hallo Voiper,

wenn die Maschinen der User im AD sind,
1. Gruppe aller Techniker erstellen und diese in die lokale Gruppe der Administratoren einfügen.
2. für diese gruppe RDP Zugriff erlauben.
3. jetzt kannst du genau den Techniker loggen der sich mit dem User PC verbunden hat.

grüße vom it-frosch
Voiper
Voiper 02.03.2018 um 17:48:47 Uhr
Goto Top
Zitat von @Dani:

Guten Abend,
ich habe den Beitrag heute Nachmittag, heute Abend und eben nochmals gelesen. Leider kann ich dir immer noch nicht folgen. Kannst du evtl. deine Ausgangslage nochmals anders beschreiben, damit ich es endlich verstehe? face-smile


Gruß,
Dani

Gerne. Wir sind Dienstleister und haben ein eigenes kleines RZ. Dadurch kommen wir von unserem Netz aus einfach per RDP auf die Server der Kunden. Da wir mit unseren Firmenaccounts aber nicht auf den einzelnen AD's der Kunden sind, gibt es meist nur einen Service-Account für RDP. Dadurch wird aber nicht genau protokolliert, wer von uns genau per RDP auf dem Server war, da auch unsere Rechner nicht im AD der Kunden zu finden sind.

Wir möchten nun, dass aufgeschlüsselt werden kann, wer von uns sich per RDP des Service-Accounts bedient hat und das möglichst wann und wie lange. Das sollte aber nicht auf den Rechnern der Techniker passieren, sondern möglichst auf den Kundenservern oder auf einem zentralen Gateway, auf dem wir uns vorher mit eindeutigen Accounts anmelden und das unsere Wartungs-Sessions protokolliert (Login, Dauer, LogOff).

Zitat von @maretz:

Moin, es wird doch auf der Zielmaschine bereits (so es ein Win-Server ist) geloggt welcher User sich von welcher Maschine angemeldet hat. Damit hast du doch schon die Infos - oder habt ihr geteilte PCs?

Wichtig wäre tatsächlich der Username ;)

Zitat von @SlainteMhath:

Moin,

ich bin auch bei @maretz. Zusätzlich müssen dann noch die Sammelaccounts aufgelöst und ein benannter User Accounts pro Person angelegt werden - Fertig.

Oder du machst das per Gateway - da gibt's mWn aber nur Lösungen die was kosten - SecretServer von Thycotic kann das u.A.

lg,
Slainte

Kosten sollen hier kein Problem darstellen. Die Sammelaccounts sollen eben nicht aufgelöst werden.


Zitat von @it-frosch:

Hallo Voiper,

wenn die Maschinen der User im AD sind,
1. Gruppe aller Techniker erstellen und diese in die lokale Gruppe der Administratoren einfügen.
2. für diese gruppe RDP Zugriff erlauben.
3. jetzt kannst du genau den Techniker loggen der sich mit dem User PC verbunden hat.

grüße vom it-frosch


Maschinen sind nicht im AD, da wir nur Dienstleister mit quasi "Fremdrechnern" sind.