Forum
Merhabalar,
Server 2012 Sistemimizde 10 Uzak Masaüstü Kullanıcısı bulunmaktadır. Bu kullanıcıların hangi ip hangi kullanıcı adı ile giriş yaptığını nekadar süre kaldığını ne işlem yaptığının log takibini görebiliyormuyuz.
Mevcut sistemimde forumlarda arastırmamla
Bilgisayar Yönetimi /Olay Görüntüleyicisi kısmında uzak masaüstü loglarına kısmen erişebiliyorum.
"Uzak Masaüstü Hizmetleri'nin uzakmasaüstü1 kullanıcısı için \\SRVR sunucusundan kullanıcı yapılandırmasını yüklemesi çok uzun sürdü" gibi loglar var ama ip numarası ayrıntılarında yazmıyor.
Ayrıca Bilgi olarakta değişik değişik ip numaralar var
Uzak Masaüstü Hizmetleri 5.39.216.194 IP adresinden bir bağlantıyı kabul etti. gibi değişik değişik yurtdısı ip numaraları.
hocam yardım edermisiniz lütfen.
Asıl sorun örnek a kullanıcısı b kullanıcısının hesabına giriş yapıyormu bunu tespit etmek. farklı lokasyonda uzak kullanıcılar
a kullanıcı diyor ki ben oturumumu kapatmıstım actıgımda programım acık vs bırı gırmıs kurcalamıs denk gelıyorum 2 3 tur dıyor.
Merhaba,
Ortamda Firewall var ise burdan loglara bakılarak hangi kullanıcının bağlandığını görebilirsiniz eğer ortamda vpn yoksa vpn kurmanızı öneririm 3389 portu dışarıya açmak büyük risk olacaktır.
Merhaba,
Lepide gibi bir audit yazılımı almanız gerekli, daha detaylı işlemler için ObserveIT olabilir ama bu 25K gibi rakamlardan başladığı için 10 kullanıcılı bir TS için bu bütçeler çok yüksek kalır.
Birde sanırım RDP dışarıya bu çok riskli.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
sayın hocam,
peki o loglarda belirttigim ip numarası giriş ibareleri saldırımı yoksa nebilim güncelleme gibi şeylermidir.
o giriş izni verilen iplere mstsc ile baglanıyorum sanki pc miş gibi kullanıcı adı parola soruyor
Merhaba,
Lepide gibi bir audit yazılımı almanız gerekli, daha detaylı işlemler için ObserveIT olabilir ama bu 25K gibi rakamlardan başladığı için 10 kullanıcılı bir TS için bu bütçeler çok yüksek kalır.
Birde sanırım RDP dışarıya bu çok riskli.
Muhtemel saldırıdır, zaten bunu security loglarından failure olarak görürsün, hatta adamın kullandığı isimleri bile görebilirsin
örnek
admin dener
muhasebe dener
finans dener, bunu görüyorsan Türk birisi atak yapıyordur, üzerine alınma, açık portlara yapılır bu atak
isimler yabancı ise yabancı bir sistem otomatik atak yapıyordur.
Buraya yazıyorum dışarıya açık RDP, ransomware gibi şifreleme ataklarına davetiye çıkarmaktır, hızlıca firewall alın ve vpn siz tüm girişleri yasaklayın.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
peki hocam.
server 2012 de en güvenli 3389u sorunsuz değiştirebileceğim alan neresi yardımcı olurmusunuz. Değiştirip görmek istiyorum.
ilginize teşelkür eder iyi çalışmalar dilerim.
peki hocam 3389 portunu server 2012 de en güvenli şekilde nasıl değiştirebilirim yeniden başlatmam gerekicek mi server ı?
/// kusura bakmayın 1.iletilmedi gibi oldu 2.postumu paylaştım. silebilirsiniz.
Merhaba,
Registry'den port numarasını değiştirebilirsiniz.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber