4776:使用凭据登录,包含审核成功和审核失败
4624:登录成功标志
4625:登录失败标志
计算机--管理--事件查看器--安全
进入安全以后,点击筛选当前日志
1.首先我们先筛选4776ID,这个4776ID是针对凭据登录的,也就是我们正常的远程桌面用户的登录,非系统账户,如果我们先筛选4624ID,也就是登录成功属性,会发现有大量的4624信息,包括系统账户、应用程序账户等等,不利于我们分析;我们可以先通过4776筛选出远程桌面用户的登录信息,然后通过时间点,在去找4624或者4625详细的登录信息,就能找到登录的IP,通过4776是不能直接看到登录者的IP地址的
1.png
2.png
3.png
4.png

二、记录登录信息
4776并不能查看到对方的ip,为了查看到ip需要进行一些设置
假设在C盘创建RDP文件夹,在进行操作:
1、创建空文件RDPlog.txt。创建批处理文件RDPlog.bat,写入代码

date /t >>RDPlog.txt
time /t >>RDPlog.txt
netstat -n -p tcp | find ":3389" >>RDPlog.txt

2、以服务器2012R2为例子,打开管理工具,找到任务计划程序
5.png
6.png
操作--创建任务
7.png
在常规中自己起一个名字
8.png
在触发器选项中新建“当连接到用户会话时”,在操作选项中新建操作,设置程序为C:\RDP\RDPlog.bat,起始于C:\RDP\
这样在远程登录后就会将登录的时间和ip记录在RDPlog.txt文件中。
但是有一个问题,会在登陆后跳出一个一闪而过的cmd窗口,要消除这个窗口,就再新建一个脚本RDPlog.vbs,写入代码

Set shell = Wscript.Createobject("wscript.shell")
Call shell.run("C:\RDP\RDPLog.bat", 0)

将计划任务程序设置为C:\RDP\RDPlog.vbs即可,如下
10.jpg
试着登录两次后结果如下图
11.jpg

Last modification:January 12th, 2020 at 04:03 pm
如果觉得我的文章对你有用,请随意赞赏