Gestión de Active Directory » Instalación del agente

Cómo monitorear la actividad del escritorio remoto

Los administradores de TI monitorean y controlan las máquinas presentes en la red de la organización, incluidas las remotas. En equipos remotos, es fácil para los piratas informáticos iniciar sesión sin ser notados. Es imperativo comprobar si hay inicios de sesión no autorizados para proteger la red de posibles ataques cibernéticos.

Los siguientes pasos muestran cómo puede monitorear la actividad del escritorio remoto usando la herramienta nativa de auditoría.

Es posible que también desee ver cómo ADAudit Plus, una herramienta de terceros, puede proporcionar un informe de actividad de escritorio remoto más completo con todos los puntos de datos necesarios.

Descárguelo GRATISPrueba gratuita de 30 días con todas las funciones 

 

  • Con auditoría nativa de AD

  • Con ADAudit Plus

Para obtener el informe,

  • Inicie sesión en la consola web de ADAudit Plus como administrador.
  • Navegue a la pestaña Informes y en la sección Inicio y cierre de sesión local en el panel izquierdo, seleccione Informe de actividad de servicios de escritorio remoto.
  • Seleccione el dominio y haga clic en Generar.

  • Seleccione Exportar como para exportar el informe en cualquiera de los formatos preferidos (CSV, PDF, HTML, CSVDE y XLSX).

    cómo-monitorear-la-actividad-del-escritorio-remoto-5

  • ADAudit Plus proporciona un informe de las actividades de escritorio remoto de los usuarios en una estación de trabajo en particular y lo muestra en una interfaz de usuario sencilla y de diseño intuitivo.

  • Paso 1: Habilite la política de “Inicio de sesión de auditoría”
  • Inicie la consola de administración de directivas de grupo (Ejecutar --> gpedit.msc)
  • Cree una nueva GPO y vincúlela al dominio que contiene el servidor de archivos o edite la GPO existente que está vinculada al dominio correspondiente.

  • Navegue a Configuración de la computadora -> Configuración de Windows -> Configuración de seguridad -> Configuración avanzada de políticas de auditoría -> Políticas de auditoría -> Acceso de inicio de sesión y cierre de sesión.

    cómo-monitorear-la-actividad-del-escritorio-remoto-1

  • En Política de auditoría, seleccione “Inicio de sesión de auditoría” y active la auditoría para tener éxito.

    cómo-monitorear-la-actividad-del-escritorio-remoto-2

  • Paso 2: Ver registros de actividad de escritorio remoto en el Visor de eventos

    Cada vez que un usuario se conecta exitosamente de forma remota, se registrará un registro de eventos en el Visor de eventos. Para ver este registro de actividad del escritorio remoto, vaya al Visor de eventos. En Registros de aplicaciones y servicios -> Microsoft -> Windows -> Terminal-Services-RemoteConnectionManager > Operacional.

    cómo-monitorear-la-actividad-del-escritorio-remoto-3cómo-monitorear-la-actividad-del-escritorio-remoto-4 

    Habilite el filtro de registro para este evento (haga clic derecho en el registro -> Filtrar registro actual -> EventId 1149).

¿Se está volviendo demasiado la auditoría nativa?

Simplifique la auditoría e informes de Active Directory con ADAudit Plus.

Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones

Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active DirectoryWorkstationServidores de archivosServidores Windows CumplimientoProductos relacionados