2003记录win2003远程桌面的连接登录日志方法(查询是否被非法入侵)

最新推荐文章于 2022-04-03 11:02:03 发布
最新推荐文章于 2022-04-03 11:02:03 发布
阅读量1.3k 收藏
点赞数
分类专栏: 网络维护 黑客攻防 文章标签: 终端服务器 tcp 终端 工具 dos 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangmj518/article/details/6835977
版权
 一直都在使用2003的远程桌面功能,在网上找了一下,也可以创建登陆日志:

1、建立一个存放日志和监控程序的目录,比如在C盘下建立一个RDP的目录
2、在其目录下建立一个名为RDPlog.txt的文本文件
3、在其目录下建立一个名为RDPlog.bat的批处理文件,内容为:
复制代码
  1. date /t >>RDPlog.txt
  2. time /t >>RDPlog.txt
  3. netstat -n -p tcp | find ":3389">>RDPlog.txt
  4. start Explorer



4、进入系统管理工具中的“终端服务器配置”,进入到默认RDP-Tcp属性中
5、切换到“环境”页下,启用“用户登录时启用下列程序”
6、在程序路径和文件名处填写:C:RDP dplog.bat;并在起始于填写:C:RDP
完成以上的配置步骤后,当再次登录服务器时就会记录当前登录者的时间和IP。

可是每次登录时都会有一个DOS的黑窗口一闪而过,很不舒服,怎么去掉它呢?
1、仍旧在原来的目录下新建一个名为RDPLog.vbs脚本文件,内容如下:
复制代码
  1. Set shell = Wscript.Createobject("wscript.shell")
  2. Call shell.run("C:RDPRDPLog.bat",0)


2、进入系统管理工具中的“终端服务器配置”,进入到默认RDP-Tcp属性中
3、切换到“环境”页下,启用“用户登录时启用下列程序”
4、在程序路径和文件名处填写:wscript C:RDPRDPLog.vbs;并在起始于填写:C:RDP

另外提醒各位:如果想每次登陆都记录访问着的时间和IP,每次退出远程桌面时,都必须选择“注销”用户退出


我来解释一下这个文件的含义:

第一行是记录用户登陆的时间,Time/t的意思是直接返回系统时间(如果不加/t,系统会等待你输入新的时间),然后我们用追加符号
>>把这个时间记入TSLog.log

第二行是记录用户的ip地址,Netstat是用来显示当前网络连接状况的命令,-n表示显緄p和端口而不是域名、协议,-p tcp是只显示
tcp协议,然后我们用管道符号“|”把这个命令的结果输出给Find命令,从输出结果中查找包含“:3389”的行(这就是我们要得客户
的ip所在行,如果你改了终端服务的端口,这个数值也要作相应的改变),最后我们同样把这个结果重定向到日志文件TSLog.log中去,

于是在TSLog.log文件中,记录格式如下:
复制代码
  1. 22:40
  2. TCP 192.168.12.28:3389 192.168.10.123:4903ESTABLISHED
  3. 22:54
  4. TCP 192.168.12.28:3389 192.168.12.29:1039ESTABLISHED




正常情况下,一般的用户没有查看终端服务设置的权限,所以他不会知道你对登陆进行了ip审核,只要把TSLog.bat文件和TSLog.log 文件放在比较隐蔽的目录里就足够了,不过需要注意的是这只是一个简单的终端服务
wangmj518
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
win2003远程桌面连接
09-12
win系统都可以使用:win2003远程桌面连接win2003远程桌面连接非常好用
Win 2003安全检测 让入侵者无处遁形
weixin_30505225的博客
10-23 114
Win 2003安全检测 让入侵者无处遁形 http://blog.163.com/myp8109/blog/static/1947228200871375615305/ Windows Server 2003服务器版的系统,个人用户时有使用,但其多被用来做服务器的系统平台。攻击者更愿意获取其控制权,因此它面临的安全威胁也最大。往往的情况是,我们的系统遭到攻击甚至被入侵而...
查看Win 2003日志的简单办法
weixin_34245082的博客
03-21 97
查看Win 2003日志的简单办法 2004-09-20 10:55 作者: 爱莲 出处: 电脑报 责任编辑:原野 Windows日志文件记录Windows系统运行的每一个细节,它对Windows的稳定运行起着至关重要的作用。通过查看服务器中的Windows日志,管理员可以及时找出服务器出现故障的原因。   ...
windows2003服务器系统日志查看电脑远程登录记录
weixin_30648587的博客
12-15 622
控制面板>>管理工具>>事件查看器>>选择安全性再点工具栏目中查看>>筛选>>事件ID填528进行过滤,时间你看是多久,双击查看之后就可以找到登录服务器的ip了。 转载于:https://www.cnblogs.com/tl542475736/p/5048211.html...
Windows 2003系统日志查看方法及常用事件?
weixin_34396902的博客
10-29 408
日志查看方法: 1、开始--管理工具--事件查看器--系统或者 控制面板--管理工具--事件查看器--系统。 2、在远程客户端,运行IE浏览器,在地址栏中输入“https://Win2003服务器IP地址:8098”,如“https://192.168.1.1:8098”。在弹出的登录对话框中输入管理员的用户名和密码,点击“确定”按钮即可登录Web访问接...
整理:windows2003记录远程桌面连接登录日志方法及注意事项
weixin_33692284的博客
08-13 520
有时想看看服务器远程桌面连接登录日志,看看是否被***过。但windows2003系统默认没有记录相关日志。这个就需要我们自己创建登陆日志,以下是从网上找的记录远程桌面连接登录日志方法: 1、建立一个存放日志和监控程序的目录,比如在C盘下建立一个RDP的目录 2、在其目录下建立一个名为RDPlog.txt的文本文件 3、在其目录下建立一个名为RDPlog.bat的批...
通过windows日志查看查看系统登陆日志
热门推荐
gibbs_的博客
06-12 1万+
起因:回到工位发现自己电脑没锁屏,突然想找到查看windows登录记录方法 参考: http://www.cflab.net/News/1522379153901 https://blog.csdn.net/C_chuxin/article/details/84974207 https://www.akunblog.com/archives/275.html 操作方法: 打开事件查看器 事件查看器->windows日志->安全 右侧选择筛选当前日志 筛选事件ID
Window日志分析
06-17 157
0x01 基本设置 A、Windows审核策略设置 前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。 打开设置窗口   Windows Server 2008 R2:开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略,如图1所示;   Windows Server 2003:开始 → 运行 → 输入 gp...
Window入侵排查思路
qq_46202048的博客
04-03 6958
一、开机启动项 1、在Windows系统中查看启动项,首先要排查的就是开机自启项。 • 开始菜单里的程序中的自启 • C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup • 查看应用程序中是否存在陌生的程序或者可疑程序(非机主自己安装)。 2、可以通过msconfig查看启动项,win10系统的启动项转移到任务管理器中查看了 • 查看是否存在可疑项 3、查看缓存文件 C盘一般在C
win2003远程桌面连接.zip
07-11
Windows 2003 远程桌面连接,有时候我们的电脑上不带远程连接终端,就可以用这个了。
win2003 远程桌面端口修改方法(注册表)
01-11
第一种方法:通过修改注册表修改端口的方法 1、改端口: 简单操作步骤:打开”开始→运行”,输入”regedit”,打开注册表,进入以下路径: [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Terminal Server...
无法进入远程桌面远程重启WIN2003服务器方法
09-30
如何无法进入远程桌面有什么办法远程重启WIN2003服务器?下面有个不错的方法,大家可以参考下
win2003 多用户远程登录设置方法(图文)
01-10
Windows Server 2003默认情况下允许远程终端连接的数量是2个用户,我们可以根据需要适当增加远程连接同时在线的用户数。 下面将详细实现多用户登录Windows Server 2003操作系统步骤描述以供参考: 首先安装“终端...
硬盘零磁道损坏的修复方法
wangmj518的专栏
09-21 2720
硬盘零磁道损坏的修复方法 故障现象:一台电脑的三星2.1GB硬盘的引导区损坏,听说将引导区从0磁道改至1磁道可以将其修复,如何操作?  解决方法:首先需要找一块采用FAT16文件系统的硬盘,在其中安装好DOS6。22和PCTOOLS9.0并将2。1GB硬盘挂到电脑中。用DOS启动后执行PCTOOLS的DE命令进行Options菜单,选择Configuration命令,用Tab键切换
检查网站是否被挂马及解决办法
wangmj518的专栏
05-18 1284
网页通用挂码有三种方式,具体怎么挂的,网页被挂码的时候,HTML会混乱,造成前台首页参差不齐,被挂网页的网码一般有以下四种:  一:,“width="0" height="0" frameborder="0"就是大小高度的意思”这样被挂马的网页上就不会显示出来。   二:脚本挂马   window.open("网马的地址","","toolbar=no,location=no,dire
几种防范网站被挂马的方法
wangmj518的专栏
05-18 938
常见的挂马方式  1.IFRAME框架挂马:最常见的挂马方式之一。就是在网页内嵌入0*0的框架,让用户在视觉上看不见。入侵途径:入侵网站服务器、arp欺骗等。防范:系统审核、服务器安全配置、监测网站代码存在漏洞或隐患、网站后台管理员用户名密码。CSS配合JS脚本进行预防。  2.JS挂马:最常见的挂马方式之一。JS脚本是JavaScript脚本语言的简称,它是一种面向对象的脚本
server2003远程桌面连接后黑屏
最新发布
06-08
当您远程连接Windows Server 2003时,出现黑屏可能是由于多种原因引起的。下面是一些可能的解决方案: 1. 升级远程桌面连接客户端版本:请尝试升级您的远程桌面连接客户端版本,以获得更好的兼容性和更好的性能。 2. 检查远程桌面连接设置:请确保远程桌面连接设置是正确的,例如分辨率、颜色深度等。您可以尝试将这些设置更改为较低的值以查看是否有所改善。 3. 检查服务器资源:请确保服务器资源(CPU、内存、磁盘空间)充足,并且没有其他应用程序正在运行。 4. 检查服务器日志:请检查Windows Server 2003的系统事件日志,以查看是否有任何错误或警告信息。 5. 关闭硬件加速:请尝试在远程桌面连接中关闭硬件加速,这可能会解决黑屏问题。 6. 禁用防火墙:请尝试在Windows Server 2003上禁用防火墙,以查看是否有所改善。 希望以上解决方案能够帮助您解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值