我正在尝试找到一种方法来检测有人实际在机器上的登录。我知道您可以使用类型 2 来做到这一点,但问题是当服务发出登录请求时(例如当有人通过服务登录时),事件会被记录下来。
我发现一种可能准确的方法是当源网络地址显示本地 IP 时,例如 127.0.0.1
这足够准确吗或者还有其他方法可以做到吗?
答案1
查看以下日志:
Applications and Services Logs/ Microsoft/ Windows/ TerminalServices-LocalSessionManager/ [...]Operational
事件 ID 21 远程桌面服务:会话登录成功(LOCAL在“地址”中)。
事件 ID 25 远程桌面服务:会话重新连接成功也可能很有趣,通常如果有人首先远程连接,然后从本地计算机重新连接(LOCAL也使用“地址”)。
但是,请记住,如果有人使用第三方工具远程控制计算机,然后登录,Windows 当然将无法将其检测为远程连接。