Sådan udruller og overvåger du fjernskrivebordstjenester

Med fjernskrivebordstjenester (RDS) kan brugere oprette forbindelse til en fjerncomputer eller en virtuel maskine via netværket. Med RDS kan brugerne styre en fjerncomputer på samme måde som deres egen. Fra et andet perspektiv giver RDS en server mulighed for at være vært for flere, samtidige klientsessioner. I et PC-baseret miljø har hver bruger i en organisation forskellige applikationer installeret på deres maskiner. I et RDS-baseret miljø kan brugerne imidlertid udstyres med "tynde klienter", der blot forbinder til en terminalserver. Terminalserveren kan derefter oprette forbindelse til andre servere for at få adgang til data.

Indførelse af RDS i organisationen reducerer omkostningerne, øger mobiliteten og giver skalerbarhed. Det reducerer også tid og kræfter til opsætning af slutbrugernes arbejdsstationer. En af ulemperne er dog en stor sikkerhedsudfordring – implementering af RDS øger antallet af slutpunkter udsat for sikkerhedsrisici, og cyberangribere kan nu få endnu en måde at udføre et databrud på. Derfor skal IT-administratorer løbende overvåge RDS-sessioner og sørge for, at der ikke udføres skadelige handlinger.

I denne artikel ser vi først på, hvordan organisationer kan udrulle RDS med PowerShell. Derefter ser vi på, hvordan ADAudit Plus, en omfattende løsning til overvågning af Active Directory, kan hjælpe med at holde forbindelser til fjernskriveborde sikre.

Trin til at udrulle RDS med PowerShell

PowerShell-cmdletten New-SessionDeployment bruges til at udrulle RDS. Tre obligatoriske RDS-komponenter skal installeres på udrulningstidspunktet: 1) Forbindelsesmægler, 2) Sessionsvært og 3) Webadgang. Disse komponenter definerer, hvordan brugerne kan bruge RDS'en, når den er rullet ud.

Sådan udruller du RDS:

• Åbn PowerShell med administratorrettigheder.
• Kør dette PowerShell-script:

New-SessionDeployment -ConnectionBroker server1.manageengine.com -WebAccessServer server1.manageengine.com -SessionHost server1.manageengine.com

Efter udrulning kan administratorer bruge PowerShell til overvågning af de aktiviteter, der sker i RDS. Eksempelvis kan IT-administratorer bruge denne PowerShell-cmdlet til at få en liste over hændelser relateret til vellykket RDP-godkendelse (hændelses-ID 4624):

Get-EventLog security -after (Get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 4624 -and $_.Message -match 'logon type:\s+(10)\s'} | Out-GridView

Den nemmeste måde at overvåge RDS-aktiviteter på er dog at bruge ManageEngine ADAudit Plus

Trin til overvågning af RDS med ADAudit Plus

• Log ind på ADAudit Plus-webkonsollen.
• Naviger til Rapporter > Lokal ind- og udlogning > Aktivitet i fjernskrivebordstjenester.
• Vælg den periode, du vil have oplysninger om.
• En grafisk visning med en detaljeret oversigt over hændelser viser overvågningsoplysningerne for den valgte periode.
• Rapporten viser detaljerede oplysninger om al RDS-aktivitet.
  
• Hvis du klikker på en hændelse i søjlediagrammet, filtreres rapportvisningen, så kun den valgte hændelse fremhæves.
• Søgefunktionerne Hurtig og Avanceret kan bruges til præcis filtrering.