Forum

Server 2012 Uzak Ma...
 
Bildirimler
Hepsini Temizle

Server 2012 Uzak Masaüstü Kullanıcıları Log Takibi Hakkında

8 Yazılar
4 Üyeler
0 Reactions
4,398 Görüntüleme
(@volkankazak)
Gönderiler: 21
Eminent Member
Konu başlatıcı
 

Merhabalar,
Server 2012 Sistemimizde 10 Uzak Masaüstü Kullanıcısı bulunmaktadır. Bu kullanıcıların hangi ip hangi kullanıcı adı ile giriş yaptığını nekadar süre kaldığını ne işlem yaptığının log takibini görebiliyormuyuz. 

Mevcut sistemimde forumlarda arastırmamla 

Bilgisayar Yönetimi /Olay Görüntüleyicisi kısmında uzak masaüstü loglarına kısmen erişebiliyorum.

"Uzak Masaüstü Hizmetleri'nin uzakmasaüstü1 kullanıcısı için \\SRVR sunucusundan kullanıcı yapılandırmasını yüklemesi çok uzun sürdü" gibi loglar var ama ip numarası ayrıntılarında yazmıyor.

Ayrıca Bilgi olarakta değişik değişik ip numaralar var
Uzak Masaüstü Hizmetleri 5.39.216.194 IP adresinden bir bağlantıyı kabul etti. gibi değişik değişik yurtdısı ip numaraları. 

hocam yardım edermisiniz lütfen.

Asıl sorun örnek a kullanıcısı b kullanıcısının hesabına giriş yapıyormu bunu tespit etmek. farklı lokasyonda uzak kullanıcılar

a kullanıcı diyor ki ben oturumumu kapatmıstım actıgımda programım acık vs bırı gırmıs kurcalamıs denk gelıyorum 2 3 tur dıyor.

 
Gönderildi : 16/01/2018 04:48

(@erdemyaglikara)
Gönderiler: 1165
Noble Member
 

Merhaba,

Ortamda Firewall var ise burdan loglara bakılarak hangi kullanıcının bağlandığını görebilirsiniz eğer ortamda vpn yoksa vpn kurmanızı öneririm 3389 portu dışarıya açmak büyük risk olacaktır.

 
Gönderildi : 16/01/2018 11:26

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba,

Lepide gibi bir audit yazılımı almanız gerekli, daha detaylı işlemler için ObserveIT olabilir ama bu 25K gibi rakamlardan başladığı için 10 kullanıcılı bir TS için bu bütçeler çok yüksek kalır.

Birde sanırım RDP dışarıya bu çok riskli.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 16/01/2018 11:59

(@volkankazak)
Gönderiler: 21
Eminent Member
Konu başlatıcı
 

sayın hocam,

peki o loglarda belirttigim ip numarası giriş ibareleri saldırımı yoksa nebilim güncelleme gibi şeylermidir.

o giriş izni verilen iplere mstsc ile baglanıyorum sanki pc miş gibi kullanıcı adı parola soruyor

 

 

 

Merhaba,

Lepide gibi bir audit yazılımı almanız gerekli, daha detaylı işlemler için ObserveIT olabilir ama bu 25K gibi rakamlardan başladığı için 10 kullanıcılı bir TS için bu bütçeler çok yüksek kalır.

Birde sanırım RDP dışarıya bu çok riskli.

 
Gönderildi : 16/01/2018 15:09

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Muhtemel saldırıdır, zaten bunu security loglarından failure olarak görürsün, hatta adamın kullandığı isimleri bile görebilirsin

örnek

admin dener

muhasebe dener

finans dener, bunu görüyorsan Türk birisi atak yapıyordur, üzerine alınma, açık portlara yapılır bu atak

isimler yabancı ise yabancı bir sistem otomatik atak yapıyordur.

Buraya yazıyorum dışarıya açık RDP, ransomware gibi şifreleme ataklarına davetiye çıkarmaktır, hızlıca firewall alın ve vpn siz tüm girişleri yasaklayın.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 16/01/2018 16:14

(@volkankazak)
Gönderiler: 21
Eminent Member
Konu başlatıcı
 

peki hocam.

server 2012 de en güvenli 3389u sorunsuz değiştirebileceğim alan neresi yardımcı olurmusunuz. Değiştirip görmek istiyorum.

ilginize teşelkür eder iyi çalışmalar dilerim.

 
Gönderildi : 19/01/2018 15:17

(@volkankazak)
Gönderiler: 21
Eminent Member
Konu başlatıcı
 

peki hocam 3389 portunu server 2012 de en güvenli şekilde nasıl değiştirebilirim yeniden başlatmam gerekicek mi server ı? 

 

/// kusura bakmayın 1.iletilmedi gibi oldu 2.postumu paylaştım. silebilirsiniz.

 
Gönderildi : 19/01/2018 15:20

(@melihatasoylu)
Gönderiler: 73
Trusted Member
 

Merhaba,

 

Registry'den port numarasını değiştirebilirsiniz.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

 

 

 
Gönderildi : 19/01/2018 16:47

Paylaş: