在我们的组织中,我们有一个控制措施,可以监视使用高权限 Active Directory 帐户通过 RDP 访问我们网络上的任何服务器或工作站的用户。
我最近启用了此控制,它使用针对我们域中高权限访问帐户的特定过滤器来监视与 Windows 终端服务相关的日志。
有几条有用的日志表明用户使用这些帐户进行 RDP,但也有一些日志表明 RDP 活动,但“源网络地址”字段是“LOCAL”。
以下是示例日志(已清除敏感信息):
Microsoft-Windows-TerminalServices-LocalSessionManager/ Operational,01/08/2014,13:31:45 PM,Microsoft-Windows- TerminalServices-LocalSessionManager,21,信息,N/A,无,N/A,comptername.domain.com,IP:1.1.1.1,21,远程桌面服务:会话登录成功:用户:domain\highaccessaccount 会话 ID:1源网络地址:LOCAL
我的问题是,是否有人看到过与此类似的日志?是否有人知道用户如何以本地机器为目标生成此日志?
答案1
我刚刚在 Windows Server 2008 R2 上验证了这一点。这是直接本地登录到控制台。
它不是mstsc /admin与控制台会话的连接(控制台会话的会话 ID 永远不会为 1)。