Wie man Remotedesktopverbindungsprotokolle in Windows verfolgt und analysiert

So erhalten und prüfen Sie RDP-Verbindungsprotokolle unter Windows – Tipps aus der Praxis

Die Suche nach den RDP-Anmeldern an Ihrem Windows-Server oder -Desktop kann sich manchmal als langwierige Angelegenheit erweisen. Ereignisprotokolle können unübersichtlich oder einfach nicht verständlich genug sein. Ziel ist es, Ihre RDP-Verbindungshistorie verständlich zu machen, ohne sich die Haare zu raufen. Ob für Sicherheitsaudits oder einfach nur, um zu wissen, wer sich angemeldet hat – der Zugriff auf und das Verständnis dieser Protokolle kann sich anfangs wie das Entschlüsseln von Hieroglyphen anfühlen. Mit ein paar Tricks erhalten Sie jedoch ein recht klares Bild der Remotesitzungen, ihres Starts, Endes und der beteiligten Personen. Außerdem ist es ratsam zu wissen, wie man verdächtige Aktivitäten oder Brute-Force-Angriffe herausfiltert, denn Windows verursacht bekanntermaßen manchmal unübersichtliche Sicherheitsprotokolle. Bereit, diese Protokolle in den Griff zu bekommen? Dann legen wir los.

So beheben Sie Probleme mit Remotedesktopprotokollen in Windows oder greifen darauf zu.

RDP-Verbindungsereignisse in der Windows-Ereignisanzeige

Die Ereignisanzeige ist Ihr hilfreiches Werkzeug zur Überwachung von RDP-Aktivitäten. Wenn sich Benutzer mit einem Server oder Desktop verbinden oder die Verbindung trennen, protokolliert Windows dies in speziellen Protokollen, die Sie durchsuchen können. Die Protokolle sind in Kategorien wie „Anwendungs- und Dienstprotokolle“ und „Sicherheit“ unterteilt, was die Suche erschwert, wenn Sie nicht wissen, wo Sie suchen müssen. Ein kleiner Tipp: Die benötigten Protokolle befinden sich hauptsächlich unter folgenden Pfaden:

  • Anwendungs- und Dienstprotokolle —> Microsoft —> Windows —> TerminalServices-RemoteConnectionManager —> Betriebsbereit
  • Windows —> Sicherheit (für Anmeldeerfolg/Anmeldefehler, Ereignis-ID 4624, 4625 usw.)
  • Anwendungs- und Dienstprotokolle —> Microsoft —> Windows —> TerminalServices-LocalSessionManager —> Betriebsbereit
  • Microsoft-Windows-TerminalServices-Gateway (für RD-Gateway-Protokolle, Ereignis-ID 302, 300, 303 usw.)

Was hilft hier? Aktivieren Sie die Protokollfilterung für bestimmte Ereignis-IDs wie 1149 (Netzwerkverbindung), 4624 (erfolgreiche Anmeldung), 24 (Sitzungstrennung) oder 23 (Abmeldung).Wenn Sie, wie ich, etwas faul sind, ist das Abrufen dieser Protokolle über PowerShell schneller als das endlose Klicken durch Menüs.

Abrufen des RDP-Verbindungsverlaufs mit PowerShell

Apropos PowerShell: Das ist der schnellste Weg, um sich einen Überblick über die RDP-Aktivitäten zu verschaffen. Hier ist ein einfaches Skript, das Ihre Sicherheitsereignisprotokolle nach Ereignissen wie 4624 (erfolgreiche Anmeldung) und 4778 (Sitzung wiederhergestellt) durchsucht und nach Anmeldetyp 10 (Remote-RDP) filtert. So sehen Sie in einer übersichtlichen Tabelle, wer sich wann von wo aus angemeldet hat – ganz ohne grafische Benutzeroberfläche.

Get-EventLog -LogName Security -after (Get-Date).Date | ?{ $_. EventID -eq 4624 -or $_. EventID -eq 4778 } | ?{ $_. Message -match 'Logon Type:\s+10' } | %{ [PSCustomObject]@{ Time = $_. TimeGenerated User = ($_. Message -match 'Account Name:\s+([^\s]+)')[1] Domain = ($_. Message -match 'Account Domain:\s+([^\s]+)')[1] SourceIP = ($_. Message -match 'Source Network Address:\s+([^\s]+)')[1] LogonType = ($_. Message -match 'Logon Type:\s+([^\s]+)')[1] } } | sort Time -Descending | Format-Table -AutoSize

Dieses Skript ist noch etwas unfertig, funktioniert aber auf einem Server gleichzeitig. Wenn Sie eine RDS-Serverfarm betreiben, können Sie es anpassen oder per PowerShell-Remoting remote ausführen. Es erstellt eine Momentaufnahme, die anzeigt, wer sich wann mit welcher IP-Adresse und unter welchem ​​Konto verbunden hat. Praktisch, oder?

Exportieren und Analysieren von RDP-Protokollen

Möchten Sie diese Daten in Excel analysieren? Ganz einfach. Sie können Ihre Ereignisprotokolle als CSV-Dateien exportieren. Verwenden Sie dazu beispielsweise:

Export-Csv -Path c:\logs\rdp_connections.csv -InputObject (Get-WinEvent -LogName 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational' | Select-Object * )

Oder analysieren Sie die Protokolle über die Befehlszeile mit:

WEVTUtil query-events Security > c:\ps\rdp_security_log.txt

Der entscheidende Vorteil liegt darin, dass exportierte Daten leichter gefiltert, analysiert und Auffälligkeiten oder Muster bei Benutzeranmeldezeiten, IP-Adressen oder Verbindungsabbrüchen erkannt werden können. Wenn sich Benutzer über ein Remotedesktopgateway verbinden, sollten Sie die Ereignisse im Verzeichnis „ Microsoft-Windows-TerminalServices-Gateway/Operational“ überprüfen.

So verfolgen Sie den Verlauf ausgehender RDP-Verbindungen

Dieser Teil ist weniger bekannt, aber ebenfalls nützlich. Die auf Ihrem lokalen Rechner unter Microsoft-Windows-TerminalServices-RDPClient protokollierten Ereignisse geben Aufschluss darüber, ob ein Benutzer Ihren PC als RDP-Client für eine Verbindung nach außen verwendet hat. Die Ereignis-ID 1102 liefert hierfür die relevanten Informationen. Das mag etwas ungewöhnlich klingen, aber es werden RDP-Clientsitzungen protokolliert, die von Ihrem Windows-Rechner aus gestartet wurden, einschließlich der IP-Adressen der Remote-Server und deren Zeitstempel.

Get-WinEvent -LogName 'Microsoft-Windows-TerminalServices-RDPClient/Operational' -FilterHashTable @{ID=1102} | Select-Object TimeCreated, UserID, Properties

Das Einsehen dieser Protokolle kann hilfreich sein, wenn Sie vermuten, dass Ihr System für nicht autorisierte Remote-Verbindungen genutzt wird oder wenn Sie einfach nur die ausgehende RDP-Aktivität im Auge behalten möchten – denn manchmal findet die Aktivität auch auf Clientseite statt.

Worum geht es also? RDP-Protokolle sind nicht einfach nur Protokolle – sie sind eine wahre Fundgrube, wenn man weiß, wo man suchen und wie man die relevanten Informationen extrahieren muss. Außerdem sind sie praktisch für die Fehlerbehebung oder um unautorisierte Zugriffsversuche aufzudecken, ohne gleich aufwendige Sicherheitstools einsetzen zu müssen.

Zusammenfassung

  • Überprüfen Sie die Ereignisanzeige in den angegebenen Protokollen auf Verbindungs-, Anmelde-, Trennungs- und Abmeldeereignisse.
  • Verwenden Sie PowerShell-Skripte, um schnell den Verbindungsverlauf zu erfassen und Protokolle zur weiteren Analyse zu exportieren.
  • Vergessen Sie nicht, einen Blick auf ausgehende RDP-Sitzungen zu werfen, um die volle Kontrolle über die Remote-Aktivitäten zu behalten.

Zusammenfassung

Die Auswertung von RDP-Verbindungsprotokollen kann etwas mühsam sein, ist aber für Sicherheit und Audits unerlässlich. Sobald man weiß, nach welchen Ereignissen man suchen und wie man filtern muss, ist es erstaunlich einfach. Diese Protokolle zeigen, wer wann und von wo aus auf die Server zugegriffen hat – nützliche Informationen, egal ob man debuggt oder einfach nur auf Nummer sicher gehen will. Es ist nicht perfekt, aber besser als im Dunkeln zu tappen. Hoffentlich erspart dies jemandem stundenlange Frustration.