■ リモートデスクトップの接続を監視する

誰が?いつ?リモートデスクトップで接続したか確認したい


[イベント ビューアー]
→ [Windows ログ]
→ [セキュリティ]
・イベントID "4624"? (たぶん)
・タスクのカテゴリ "ログオン"
・[詳細]情報の "EventData" → "LogonType" が "10" であればリモートログインの情報となる。
"IpAddress"で接続元IPアドレスがわかる
※ LoginTypeについては こちら を参照。

リモートデスクトップでログオフせずに[X]で閉じたら…
イベントID "4634" (ログオフ) LogonType="3" のログが残っているが、これでいいのかなぁ?
でもTargetLogonIdが違うからダメかな。

もう少しイベントログを解析。
リモートデスクトップ接続・切断をもう一度やってみて、イベント記録順を見てみる。
(サーバー側コンソールにてログインした状態で、クライアントからリモート接続した場合)
・4672 特殊なログオン (SubjectLogonId="0x2d79b5")
・4624 ログオン (TargetLogonId="0x2d79b5" LogonType="3" IpAddress="-")
・4634 ログオフ (TargetLogonId="0x2d79b5" LogonType="3")
TargetLogonId="0x2d79b5"がサーバ側でログインした時のLogonIdと思われる。

・4672 特殊なログオン (SubjectLogonId="0x2d7a6c")
・4624 ログオン (TargetLogonId="0x2d7a6c" LogonType="3" IpAddress="-")
・4648 ログオン (SubjectLogonId="0x3e7" IpAddress="クライアントIP")
・4624 ログオン (SubjectLogonId="0x3e7" TargetLogonId="0x2d9238" LogonType="10" IpAddress="クライアントIP")
・4672 特殊なログオン (SubjectLogonId="0x2d9238")
リモート接続すると、LogonId="0x2d7a6c"、"0x3e7"、"0x2d9238"の3つのLogonIdが割り当てられた。
もしかすると"0x3e7"は、サーバ側ログイン時に割り当てられたLogonIdかもしれない。
LogonType="10"のログに書き込まれた"0x2d9238"がリモートデスクトップのIDだろう。

ここでリモートデスクトップを[X]終了し、サーバ側コンソールでログイン。
・4634 ログオフ (TargetLogonId="0x2d9238" LogonType="10")
・4634 ログオフ (TargetLogonId="0x2d7a6c" LOgonType="3")
リモートデスクトップを[X]で終了すると、LogonId="0x2d9238"、"0x2d7a6c"の2つのLogonIdのログオフが記録される。
LogonType="10"、LogonId="0x2d9238"がリモートデスクトップ終了と思われる。
LogonType="10のでログオフイベントがあればリモートデスクトップは終了と思ってよさそう。

引き続いてログイン時のイベントログ
・4648 ログオン (SubjectLogonId="0x3e7" IpAddress="127.0.0.1")
・4624 ログオン (SubjectLogonId="0x3e7" TargetLogonId="0x2e40a4" LogonType="2" IpAddress="127.0.0.1")
・4672 特殊なログオン (SubjectLogonId="0x2e40a4")
・4634 ログオフ (TargetLogonId="0x2e40a4" LogonType="2")
リモートで接続していたデスクトップをサーバ側コンソールで引き継いで使用するため、同じLogonId="0x3e7"を使用しログインしているのかな?
その後、新たに"0x2e40a4"が特殊なログオンとして割り当てられ、すぐにログオフとなっているが、理由がわからない。

サーバのコンソールにログインしなくても、クライアント側からサーバのイベントログを見れるようにして、もう一度やってみる。

サーバ側をログオフ
→ クライアント側からサーバのイベントログをすべて消去
→ クライアントからリモート接続
→ クライアント側からサーバのイベントログを表示(最新の情報に更新)
・4672 特殊なログオン (SubjectLogonId="0x34ba66")
・4624 ログオン (SubjectLogonId="0x0" TargetLogonId="0x34ba66" LogonType="3" IpAddress="クライアントIP")
・4672 特殊なログオン (SubjectLogonId="0x34baab")
・4624 ログオン (SubjectLogonId="0x0" TargetLogonId="0x34baab" LogonType="3" IpAddress="クライアントIP")
・4634 ログオフ (TargetLogonId="0x29282e" LogonType="2")
・4634 ログオフ (TargetLogonId="0x34ba66" LogonType="3")
・4634 ログオフ (TargetLogonId="ox34baab" LogonType="3")
・4672 特殊なログオン (SubjectLogonId="0x34c365")
・4624 ログオン (SubjectLogonId="0x0" TargetLogonId="ox34c365 LogonType="3" IpAddress="-"")
・4634 ログオフ (TargetLogonId="0x34c365" LogonType="3")
ログオン・ログオフが繰り返されるが、この中にはイベントログへの接続情報も含まれていると思われる。

・4672 特殊なログオン (SubjectLogonId="0x34c514")
・4624 ログオン (SubjectLogonId="0x0" TargetLogonId="0x34c514" LogonType="3" IpAddress="-")
・4648 ログオン (SubjectLogonId="0x3e7" IpAddress="クライアントIP")
・4624 ログオン (SubjectLogonId="0x3e7" TargetLogonId="0x34d99b" LogonType="10" IpAddress="クライアントIP")
・4672 特殊なログオン (SubjectLogonId="0x34d99b")
"0x3c514"、"0x3e7"、"0x34d99b"でログオンが発生。(リモートデスクトップのLogonIdは"0x34d99b")
SubjectLogonId="0x3e7"は先ほどと同じIDなので、Windows起動時に割り当てられたIDかもしれない。

リモートデスクトップをログオフ終了し、イベントログを更新
・4647 ログオフ (TargetLogonId="0x34d99b")
・4634 ログオフ (TargetLogonId="0x34c514" LogonType="3")
・4634 ログオフ (TargetLogonId="0x34d99b" LogonType="10")
"0x34d99b"、"0x34c514"がログオフされる。

結局は LogonType="10" のログを監視すれば、リモートデスクトップの接続・切断を監視できそうか。

リモートデスクトップ
- 0 件のコメント:
ラベル: ,

■ リモートデスクトップ接続で「お使いの資格情報は機能しませんでした」となる

リモートデスクトップ接続しようとすると「お使いの資格情報は機能しませんでした」と表示され接続できない。


状況

■ リモート側
・Windows7 Pro:Workgroup環境
・システムのプロパティ → [リモート]タブでリモートデスクトップの設定を「ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからのみ接続を許可する (セキュリティのレベルは高くなります)」を選択
・[ユーザーの選択]は既定で選択されているユーザを使用。(特に追加設定は行わない)

■ クライアント側
・Windows7 Pro:Workgroup環境
・リモートデスクトップを起動し、リモート側に接続
・ユーザ名 :(リモート側コンピュータ名)\(ユーザー名)
・パスワード:(リモート側ユーザーのパスワード)

対応

■ 対応その1
リモート側のセキュリティを下げてみる。
「リモート デスクトップを実行しているコンピューターからの接続を許可する (セキュリティのレベルは低くなります)」を選択
→ ダメ(変化なし)

■ 対応その2
リモート側のグループポリシーを変更
[ローカル コンピューター ポリシー] → [コンピューターの構成] → [管理用テンプレート] → [システム] →
[資格情報の委任] → [NTLMのみのサーバー認証で保存された資格情報の委任を許可する] を "有効" に設定
オプション欄の[サーバーを一覧に追加]の[表示]ボタンをクリックし「TERMSRV/*」と入力、適用する。
「gpupdate」コマンドでポリシーを最新の情報に更新する。
→ ダメ(変化なし)

■ 対応その3
リモート側で別ユーザを作ってみる
・ファイル名を指定して実行から "control userpasswords2" と入力
・[ユーザー]タブの[追加]ボタンをクリック
・新しいユーザー名を入力し[次へ]
・パスワードを入力し[次へ]
・[標準ユーザー]を選択し[完了]
・コントロールパネルのリモートの設定で、先ほど追加したユーザーを[ユーザーの選択]から登録
→ リモート接続できた

原因

サーバー側のユーザー設定が悪いみたい。
ファイル名を指定して実行より "control passwords2" を起動し、ユーザー設定を見てみる。
対象ユーザーのプロパティを開き[グループ メンバーシップ]タブを開く。
そうすると「その他」になっていた。→ 管理者へ変更 → ログオフ

これでリモート接続できた

-- 以上 --



Windows, リモートデスクトップ
- 0 件のコメント:
ラベル: ,
登録: 投稿 (Atom)

その他の記事

  • リモートデスクトップ:リモート側で音を出したい
    自宅には デスクトップPC(Win10Pro) と ノートPC(Win10Home) があるが、デスクトップPCのモニタが故障してしまった。 ということで、しばらくはノートPCからデスクトップへリモートデスクトップ接続し操作を行うことで代用しようと思うが、 そう...
  • ■ au Eメール受信で本体メモリ空き容量不足エラー
    au SHL23でEメールを受信しようとすると「本体メモリ空き容量不足」となり受信できない。 対処 ・他のアプリでキャッシュを大量に消費しているものがあればキャッシュを削除する。 ・不要なアプリはアンインストールする 今回はこれで受信できるようになった。 ...
  • ■ リモートデスクトップ接続で「お使いの資格情報は機能しませんでした」となる
    リモートデスクトップ接続しようとすると「お使いの資格情報は機能しませんでした」と表示され接続できない。 状況 ■ リモート側 ・Windows7 Pro:Workgroup環境 ・システムのプロパティ → [リモート]タブでリモートデスクトップの設定を「ネッ...
  • ■ iPhone PCコピー中に「デバイスに到達できません」となる
    iPhone7とPCをUSB(USB2.0)で接続し、エクスプローラにてiPhoneの写真とビデオ(Apple iPhone\Internal Storage\DCIM)をPCにコピーする。 その際、複数ファイルを選択しPCへ移動させると、高確率で「デバイスに到達できません」...
  • ■ AviUtlでiPhoneで撮影した4K動画を編集する
    iPhoneで撮影した4Kビデオ動画をWindowsPC(AviUtl)で編集したい。 ※ 過去記事: AviUtlでiPhoneで撮影した動画を編集する 4K撮影した動画を編集可能か? AviUtlに4K動画ファイルをドラッグすると 1920x1080を超え...