Jak wdrożyć i dokonać inspekcji usług pulpitu zdalnego

Usługi pulpitu zdalnego (RDS) pozwalają użytkownikom łączyć się z komputerem zdalnym lub maszyną wirtualną w sieci. Dzięki RDS użytkownicy mogą sterować komputerem zdalnym tak jak swoim własnym. Z innej perspektywy RDS umożliwia hostowanie na serwerze wielu symultanicznych sesji klienta. W środowisku komputerów stacjonarnych każdy użytkownik w organizacji ma w swoich maszynach zainstalowane inne aplikacje. Jednak w środowisku RDS użytkownikom mogą zostać udostępnieni „klienci zubożeni”, którzy jedynie łączą się z serwerem terminali. Serwer terminali może następnie połączyć się z innymi serwerami, aby uzyskać dostęp do danych.

Przyjęcie RDS w organizacji pozwala zredukować koszty, zwiększa mobilność i zapewnia skalowalność. Ponadto ogranicza czas i wysiłek wkładany w konfigurację stacji roboczych użytkownika. Z drugiej strony pojawia się spory problem związany z bezpieczeństwem – wdrożenie RDS powoduje zwiększenie liczby punktów końcowych podatnych na zagrożenia, przez co autorzy cyberataków zyskują dodatkowy sposób na przeprowadzenie naruszenia zabezpieczeń danych. Dlatego administratorzy IT muszą stale monitorować sesje RDS, aby mieć pewność, że nie są realizowane żadne złośliwe działania.

W tym artykule w pierwszej kolejności przyjrzymy się temu, w jaki sposób organizacje mogą wdrażać RDS za pomocą PowerShell. Następnie sprawdzimy, w jaki sposób ADAudit Plus – kompletne narzędzie do inspekcji Active Directory – pomaga zabezpieczyć połączenia z pulpitem zdalnym.

Etapy wdrażania RDS za pomocą PowerShell

Do wdrażania RDS stosuje się polecenie cmdlet PowerShell New-SessionDeployment. Trzy obowiązkowe komponenty RDS, które należy zainstalować w czasie wdrożenia, to: 1) Broker połączeń, 2) Host sesji oraz 3) Dostęp w sieci. Komponenty te pozwalają określić, w jaki sposób użytkownicy mogą stosować RDS po jego wdrożeniu.

RDS można wdrożyć następująco:

  • Otwórz PowerShell z uprawnieniami administracyjnymi.
  • Uruchom następujący skrypt PowerShell:
New-SessionDeployment -ConnectionBroker server1.manageengine.com -WebAccessServer server1.manageengine.com -SessionHost server1.manageengine.com

Po wdrożeniu, w celu dokonania inspekcji aktywności zachodzących w RDS, administratorzy mogą użyć PowerShell. Na przykład, aby uzyskać wykaz zdarzeń związanych ze skutecznym uwierzytelnianiem RDP (EventID 4624), administratorzy IT mogą użyć następującego polecenia cmdlet PowerShell:

Get-EventLog security -after (Get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 4624 -and $_.Message -match 'logon type:\s+(10)\s'} | Out-GridView

Jednak łatwiejszym sposobem na przeprowadzenie inspekcji RDS jest użycie ManageEngine ADAudit Plus

Etapy przeprowadzania inspekcji RDS za pomocą ADAudit Plus

  • Zaloguj się do konsoli sieciowej ADAudit Plus.
  • Przejdź do Raporty > Lokalne logowanie/wylogowywanie > Aktywność usług pulpitu zdalnego.
  • Wybierz okres, dla którego chcesz uzyskać informacje.
  • Na graficznym przedstawieniu ze szczegółowym podsumowaniem zdarzeń pojawią się informacje o inspekcji dla wybranego okresu.
  • Raport zawiera szczegółowe informacje o wszystkich aktywnościach RDS.
    powershell-remote-desktop-services-1
  • Kliknięcie zdarzenia na wykresie słupkowym sprawi, że widok raportu zostanie przefiltrowany w taki sposób, by podkreślić wyłącznie wybrane zdarzenie.
  • Do precyzyjnego filtrowania można użyć szybkich i zaawansowanych opcji.
  • Wykonywanie skryptów PowerShell i uproszczony audyt zmian w AD za pomocą ADAudit Plus.
  •  
  • Przez kliknięcie „Pobierz bezpłatną wersję próbną” akceptujesz licencję użytkownika i polityką prywatności.
  •  
  • Dziękujemy za pobranie!
  • Pobieranie powinno rozpocząć się automatycznie w ciągu 15 sekund. Jeśli nie rozpocznie się automatycznie, kliknij tutaj, aby pobrać ręcznie

Powiązane zasoby