我们有一些共享特权帐户,IS Security 现在希望能够追踪到使用这些帐户的人。这些帐户是否记录在某个地方,或者是否有办法(最好使用 Powershell)找到它(或通过登录脚本强制自定义事件日志)?示例:用户“Joe”登录到他的笔记本电脑,然后使用“超级用户”帐户打开与服务器“Tuxedo”的 rdp 会话。我如何跟踪/查找/记录“Joe”和“超级用户”之间的关联?
答案1
简而言之,您不能。RDP 协议唯一关心的是您以谁的身份连接到远程服务器。除了客户端的 IP 地址之外,服务器或协议中没有任何东西可以告诉您是谁发起了连接。
如果您已经有权访问客户端系统,那么您可以做的最好的事情就是将客户端 IP 与客户端系统关联起来,并检查客户端系统的日志以查看在启动 RDP 会话时谁登录了。
更好的解决方案是停止使用共享账户。但如果出于某些技术原因你需要保留它们,你应该将密码访问权限置于某种企业密码库中,该密码库会审核谁签出了当前密码,并且最好在密码重新签入后自动轮换密码。
答案2
每个人都应该使用自己独特的“超级用户”帐户,而不是通用或通用的“超级用户”帐户。