Turkey (Türkçe)
Germany (German)
Worldwide (English)
Auf Windows-Servern wird die Datei Security.evtx über den Event Viewer (Ereignisanzeige) verwendet, um zu sehen, wann Remote Desktop (RDP)-Verbindungen hergestellt wurden, wer sie versucht hat oder wann die Sitzung geschlossen wurde. Dank dieser Protokolle können sowohl erfolgreiche als auch fehlgeschlagene RDP-Versuche detailliert untersucht werden.
Speicherort der RDP-Protokolle:
C:\Windows\System32\winevt\Logs\Security.evtx
Diese Datei enthält alle sicherheitsrelevanten Protokolle. Es handelt sich nicht um eine direkt lesbare Datei, sie muss mit der Anwendung Event Viewer angezeigt werden.
Überprüfung mit der Ereignisanzeige:
-
Geben Sie
eventvwrin das Startmenü ein und führen Sie es aus. -
Öffnen Sie im linken Bereich
Windows-Protokolle>Sicherheit. -
Klicken Sie im rechten Bereich auf
Aktuelles Protokoll filtern.... -
Geben Sie die folgenden Ereignis-IDs als Filter ein:
4624, 4625, 4778, 4779
Wichtige Ereignis-IDs:
-
4624: Erfolgreiche Anmeldung (Login Success)
-
4625: Fehlgeschlagene Anmeldung (Login Failed)
-
4778: Remote-Sitzung (RDP) gestartet
-
4779: Remote-Sitzung (RDP) geschlossen
IP-Adressen anzeigen
In jedem Ereignisdetail sollten die folgenden Felder untersucht werden:
-
Network Information>Source Network Address: Die IP-Adresse, von der die Verbindung stammt -
Die Felder
Account NameundLogon Typegeben ebenfalls Auskunft über den Benutzer und den Verbindungstyp.
Kurzer RDP-Protokollbericht mit Powershell:
Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4624 -or $_.Id -eq 4625 -or $_.Id -eq 4778 -or $_.Id -eq 4779 } | Format-Table TimeCreated, Id, Message -AutoSize
Dieser Befehl listet die RDP-An- und -Abmeldungen im System auf.
Hinweise:
-
Wenn der RDP-Port (Standard 3389) geändert wurde, sollte zusätzlich zu den Sicherheitsprotokollen auch
System.evtxüberprüft werden, um Angriffsprotokolle zu finden. -
Über die Ereignisanzeige können detaillierte Analysen mit Zeitfiltern und benutzerbasierten Filtern durchgeführt werden.
Es wird empfohlen, diese Protokolle regelmäßig zu überprüfen, um die Sicherheit und Zugriffskontrolle auf Windows-basierten VPS oder Servern zu gewährleisten.