Saber em qual Computador ou Servidor um determinado Usuário Logou ou está Logado pode ser necessário em um processo de Auditoria, e como já é de conhecimento de todos temos inúmeras formas de fazer isso, há muitas ferramentas que podem auxiliar neste levantamento.
Meu objetivo com este artigo é mostrar algumas das formas mais básicas e funcionais de se fazer isso em um ambiente de rede.
// Espero que possa ajudar alguém, deixe seus comentários sobre as formas ou soluções que você utiliza para ajudar outras pessoas.
Cenário:
Para facilitar o entendimento montei o cenário abaixo onde o objetivo é localizar onde os usuário 100SECURITY\marcos logou ou esta logado.
OPÇÃO 01 – PsLoggedon
Utilizando a ferramenta PsLoggedon.exe da SysInternals você pode saber quais usuários estão logados em um determinado host.
01 Passo
Após descompactar o arquivo PSTools.zip entre no diretório PsTools e execute o comando:
C:\>cd PsTools
C:\PsTools>PsLoggedon.exe -x \\SRV-2008
Resultado:
Os usuários abaixo estão logados no Servidor SRV-2008:
SRV-2008\Administrator
100SECURITY\marcos
100SECURITY\marcos
OPÇÃO 02 – qwinsta e rwinsta
Você pode utilizar o comando responsável por exibir as informações sobre as sessões dos Serviços de Área de Trabalho Remota: qwinsta
01 Passo
Execute o comando qwinsta seguido do parâmetro /SERVER:<HOST>
C:\>qwinsta /SERVER:SRV-2008
Resultado:
São exibidas as sessões remotas que estão ativas no servidor SRV-2008
02 Passo
Caso você queira finalizar uma das sessões ativas basta utilizar o ID da sessão.
Execute o comando rwinsta
C:\>rwinsta 1 /SERVER:SRV-2008
ID 1 – Corresponde ao usuário Administrator
Em seguida execute o comando qwinsta novamente para certificar que a sessão foi finalizada.
Confirmando no Servidor: SRV-2008
OPÇÃO 03 – Active Directory | EventViewer | PowerShell
Quando um usuário loga no domínio o acesso é registrado no evento 4624 do Log Security e através deste evento é possível identificar em qual o ip do computador que o usuário esta ou estava utilizando no momento deste logon.
01 Passo
Dentro do servidor de Active Directory no exemplo DC-2012 acesse o Event Viewer > Windows Logs > Security e clique na coluna EventIDpara filtrar todos os eventos, em seguida localize o evento 4624
02 Passo
Escolha uma data e de um duplo-clique no evento 4624 para visualizar todo seu conteúdo.
Observe as linhas:
Account Name: marcos – Exibe o usuário que se logon no domínio.
Source Network Address: 192.168.1.201 – Informa em qual host o usuário marcos se logon, este IP refere-se ao servidor SRV-2008.
03 Passo
Utilizando o Power Shell você pode extrair todos os logons realizados pelo usuário marcos, basta executar o script abaixo:
// Crie a pasta auditoria para centralizar os relatórios.
PS C:\>cd .\auditoria
PS C:\auditoria>Get-EventLog -LogName Security -InstanceID 4624 | Where {$_.Message -match “Account Name:\s+marcos“}
PS C:\auditoria>Get-EventLog -LogName Security -InstanceID 4624 | Where {$_.Message -match “Account Name:\s+marcos“}
Resultado:
Mostra que o usuário marcos se logou no domínio através do host 192.168.1.201
OPÇÃO 04 – Relatório de Conexões RDP em um Servidor
Este script em Power Shell vai ajudá-lo a identificar todos os LOGON/LOGOFF que foram realizados em um ou mais servidores incluindo o computador que foi utilizado para o acesso.
01 Passo
Realize o download do script: clique aqui em seguida execute-o.
PS C:\>.cd .\auditoria
PS C:\auditoria>.\relatorio_rdp.ps1
PS C:\auditoria>.\relatorio_rdp.ps1
Resultado:
A data esta no formato americano mas você pode customizar o script como quiser.
Veja mais em: http://www.100security.com.br
Nenhum comentário:
Postar um comentário