Como implantar e auditar serviços de área de trabalho remota

Os Serviços de Área de Trabalho Remota (Remote Desktop Services, RDS) permitem que os usuários se conectem a um computador remoto ou a uma máquina virtual pela rede. Com o RDS, os usuários podem controlar um computador remoto, assim como fazem com o seu próprio. De outra perspectiva, o RDS permite que um servidor hospede múltiplas sessões de clientes simultâneas. Em um ambiente baseado em PC, cada usuário de uma organização terá diferentes aplicativos instalados em suas máquinas. Entretanto, em um ambiente baseado em RDS, os usuários podem receber "thin clients" que simplesmente se conectam a um servidor de terminal. O servidor de terminal pode então conectar-se a outros servidores para acessar dados.

A adoção do RDS dentro da organização reduz custos, aumenta a mobilidade e proporciona escalabilidade. Também reduz o tempo e o esforço para a configuração das estações de trabalho dos usuários finais. Por outro lado, existe um grande desafio de segurança: a implementação do RDS aumenta o número de endpoints vulneráveis e os ciberataques podem agora ter mais uma forma de orquestrar uma violação de dados. Portanto, os administradores de TI devem monitorar continuamente as sessões do RDS e garantir que nenhuma ação maliciosa seja executada.

Neste artigo, veremos primeiro como as organizações podem implantar o RDS usando o PowerShell. Veremos então como o ADAudit Plus, uma solução abrangente de auditoria do Active Directory, pode ajudar a manter seguras as conexões de área de trabalho remota.

Etapas para implantar o RDS usando o PowerShell

O cmdlet New-SessionDeployment do PowerShell é usado para implantar o RDS. Três componentes obrigatórios do RDS que precisam ser instalados no momento da implantação são: 1) Corretor de conexão, 2) Host de sessão e 3) Acesso à web. Esses componentes definem como os usuários podem usar o RDS depois de implantado.

Veja como você pode implantar o RDS:

  • Abra o PowerShell com privilégios administrativos.
  • Execute este script do PowerShell:
New-SessionDeployment -ConnectionBroker server1.manageengine.com -WebAccessServer server1.manageengine.com -SessionHost server1.manageengine.com

Após a implantação, para auditar as atividades que acontecem no RDS, os administradores podem usar o PowerShell. Por exemplo, para obter a lista de eventos relacionados à autenticação do RDP bem-sucedida (EventID 4624), os administradores de TI podem usar este cmdlet do PowerShell:

Get-EventLog security -after (Get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 4624 -and $_.Message -match 'logon type:\s+(10)\s'} | Out-GridView

No entanto, a maneira mais fácil de auditar as atividades do RDS é usar o ManageEngine ADAudit Plus

Etapas para auditar o RDS com o ADAudit Plus

  • Faça login no console da web do ADAudit Plus.
  • Navegue até Relatórios > Logon-Logoff local > Atividade de serviços de área de trabalho remota.
  • Selecione o Período para o qual deseja obter as informações.
  • Uma exibição gráfica com um resumo detalhado dos eventos lista as informações de auditoria do período selecionado.
  • O relatório mostra informações granulares sobre todas as atividades do RDS.
    powershell-remote-desktop-services-1
  • Clicar em um evento no gráfico de barras filtra a visualização do relatório destacando apenas o evento selecionado.
  • As opções de pesquisa rápida e avançada podem ser usadas para uma filtragem precisa.
  • Evite scripts complexos do PowerShell e simplifique a auditoria de alterações do AD com ADAudit Plus.
  • Ücretsiz Denemenizi Alın

Recursos relacionados

Empresas que confiam no ADAudit Plus

Atenda a todas as necessidades de auditoria e segurança de TI
com o ADAudit Plus.