我们有一些共享的特权帐户,安全现在希望能够追溯到使用它们的人。 是logging在某处,或者有一种方法(最好使用Powershell)来find它(或通过login脚本强制自定义事件日志)? 例如:用户“Joe”login到他的笔记本电脑,然后使用“超级用户”帐户打开一个rdp会话到服务器“Tuxedo”。 如何跟踪/查找/logging“Joe”和“超级用户”之间的关联?
简短的版本是你不能。 RDP协议唯一关心的是你连接到远程服务器的人。 服务器或协议中没有任何东西可以告诉你是谁发起了连接,而不是客户端的IP地址。
如果您已经可以访问客户端系统,则可以做的最好的方法是将客户端IP与客户端系统相关联,并检查客户端系统的日志,以便在RDP会话启动的同时查看谁已login。
更好的解决scheme是停止使用共享帐户。 但是,如果有一些技术原因需要保留,那么您应该在某种企业密码保险库门禁中访问密码,以审核当前密码,并在重新检入后自动旋转密码。
每个人都应该使用自己独特的“超级用户”帐户,而不是通用的或全部用途的“超级用户”帐户。