Журнал удаленных подключений windows 10

Обновлено: 04.07.2024

Если вы пользуетесь системой Windows, то скорее всего знаете о на наличии в ней встроенного брандмауэра. Возможно вы также умеете разрешать и блокировать доступ отдельных программ в сеть, чтобы контролировать входящий и исходящий трафик. Но знаете ли вы, что фаервол Windows может быть использован для регистрации всех проходящих через него соединений?

Журналы Брандмауэра Windows могут быть полезны при решении отдельных проблем:

  • Используемая программа не может подключиться к Интернету, несмотря на то, что с другими приложениями эта проблема не наблюдается. В данном случае для устранения неисправности следует проверить, не блокирует ли системный фаервол запросы данной программы на подключение.
  • Вы подозреваете, что компьютер используется для передачи данных вредоносной программой и хотите провести мониторинг исходящего трафика на предмет подозрительных запросов подключения.
  • Вы создали новые правила разрешения и блокировки доступа и хотите убедиться, что фаервол корректно обрабатывает заданные инструкции.

Независимо от причин использования, включение протоколирования событий может быть сложной задачей, так как требует многих манипуляций с настройками. Приведем четкий алгоритм действий, как активировать регистрацию сетевой активности в фаерволе Windows.

Доступ к настройкам фаервола

Во-первых, нужно перейти к расширенным настройкам брандмауэра Windows. Откройте панель управления (клик правой кнопкой мыши по меню Пуск, опция “Панель управления”), затем нажмите ссылку “Брандмауэр Windows”, если стоит режим просмотра мелкие/крупные значки, либо выберите раздел “Система и безопасность”, а затем “Брандмауэр Windows”, если стоит режим просмотра категория.

Брандмауэр Windows

В окне фаервола выберите опцию в левом навигационном меню “Дополнительные параметры”.

Брандмауэр Windows: Дополнительные параметры

Вы увидите следующий экран настроек:

Брандмауэр Windows в режиме повышенной безопасности

Это внутренняя техническая сторона брандмауэра Windows. Данный интерфейс позволяет разрешать или блокировать доступ программ в Интернет, настраивать входящие и исходящий трафик. Кроме того, именно здесь можно активировать функцию регистрации событий - хотя не сразу понятно, где это можно сделать.

Доступ к настройкам журнала

Во-первых, выберите опцию “Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)”.

Кликните правой кнопкой мыши по ней и выберите опцию “Свойства”.

Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)

Откроется окно, которое может запутать пользователя. При выборе трех вкладок (Профиль домена, Частный профиль, Общий профиль) можно заметить, что их содержимое идентично, но относится к трем различным профилям, название которых указано в заголовке вкладки. На вкладке каждого профиля содержится кнопка настройки ведения журнала. Каждый журнал будет соответствовать отдельному профилю, но какой профиль используете вы?

Частный профиль. Ведение журнала

Рассмотрим, что означает каждый профиль:

  • Профиль домена используется для подключения к беспроводной сети Wi-Fi, когда домен задается контроллером домена. Если вы не уверены, что это значит, лучше не используйте данный профиль.
  • Частный профиль используется для подключения к частным сетям, включая домашние или персональные сети - именно данный профиль вы скорее всего будете использовать.
  • Общий профиль используется для подключения к общественным сетям, включая сети ресторанов, аэропортов, библиотек и других учреждений.

Активация журнала событий

В открывшемся окне вы можете настроить расположение и максимальный размер журнала. Можно задать легко запоминающееся место для лога, но на самом деле локация файла журнала не имеет особо значения. Если вы хотите запустить регистрацию событий, в обоих выпадающих меню “Записывать пропущенные пакеты” и “Записывать успешные подключения” установите значение “Да” и нажмите кнопку “ОК”. Постоянная работа функции может привести к проблемам производительности, поэтому активируйте ее только когда действительно нужно выполнить мониторинг подключений. Для отключения функции логирования установите значение “Нет (по умолчанию)” в обоих выпадающих меню.

Частный профиль. Ведение журнала

Изучение журналов

Теперь компьютер будет фиксировать сетевую активность, контролируемую фаерволом. Для того, чтобы просмотреть логи, перейдите в окно “Дополнительные параметры”, выберите опцию “Наблюдение” в левом списке, а затем в секции “Параметры ведения журнала” кликните ссылку “Имя файла”.

Брандмауэр Windows

Затем откроется журнал сетевой активности. Содержимое журнала может запутать неопытного пользователя. Рассмотрим основное содержимое записей журнала:

Журнал сетевой активности

  1. Дата и время подключения.
  2. Что произошло с подключением. Статус “ALLOW” означает, что фаервол разрешил подключение, а статус “DROP” показывает, что подключение было заблокировано фаерволом. Если вы столкнулись с проблемами подключения к сети отдельной программы, то сможете точно определить, что причина проблемы связана с политикой брандмауэра.
  3. Тип подключения - TCP или UDP.
  4. По порядку: IP-адрес источника подключения (компьютера), IP-адрес получателя (например, веб-страницы) и используемый на компьютере сетевой порт. Данная запись позволяет выявлять порты, которые требуют открытия для работы ПО. Также следите за подозрительными подключениями - они могут быть совершены вредоносными программами.
  5. Был ли успешно отправлен или получен пакет данных.

Не забудьте отключить функцию ведения журнала после завершения работы.

Расширенная диагностика сети

С помощью использования журнала брандмауэра Windows, вы можете проанализировать типы данных, обрабатываемых на компьютере. Кроме того, можно установить причины проблем с сетью, связанные с работой фаервола или другими объектами, нарушающими соединения. Журнал активности позволяет ознакомиться с работой фаервола и получить четкое представление о происходящем в сети.

С помощью журнала событий в Windows пользователь может ознакомиться с теми событиями, которые происходили в операционной системе, а это в том числе: ошибки, сбои, неполадки и т.д. Как открыть журнал событий в Windows 10? Ответ на указанный вопрос знают не все пользователи, поэтому мы подготовили эту простую инструкцию.



Когда окно будет запущено, укажите команду eventvwr.msc, после чего кликните по кнопке ОК.


Журнал событий был запущен.


Поиск по Windows

Нажмите на иконку поиска, что расположена на панели задач.


Укажите поисковый запрос просмотр событий, после чего появится одноименное приложение. Нажмите по нему левой клавишей мыши для запуска.


Панель управления

Нажмите Win+X на клавиатуре, будет открыто меню быстрого доступа.





Командная строка

Можно открыть журнал событий и через командую строку.


Командная стока запущена, вам необходимо указать команду eventvwr и нажать Enter на клавиатуре.


Видим запущенный журнал событий.


Какой способ использовать, решать только вам.

Включаем шифрование RDP и смотрим логи

Включаем шифрование RDP

Сессии RDP поддерживают четыре типа шифрования

Но в полном объеме шифрование не заработает:

  • нет валидного сертификата SSL (самоподписанный сертификат)
  • будет ругаться RDP при подключении
  • будет ругаться сисадмин в офисе

Но мы делаем временный доступ на две недели и надеемся, что злые боты нас не найдут за это время.

Включаем шифрование RDP и смотрим логи

Конфигурация компьютера —> Административные шаблоны —> Компоненты Windows —> Службы удаленных рабочих столов —> Узел сеансов удаленных рабочих столов—>Безопасность

Включаем шифрование RDP и смотрим логи

Включаем параметр «Требовать безопасное RPC-подключение»

Устанавливаем параметр «Требовать использования специального уровня безопасности для удаленных подключений по методу RDP» в значение «Включено» и Уровень безопасности в значение «SSL TLS 1.0»

Самый максимальный уровень шифрования обеспечивается стандартом FIPS 140-1 (для Windows 7).

Конфигурация компьютера —> Конфигурация Windows —> Параметры безопасности —> Локальные политики —> Параметры безопасности

Включаем шифрование RDP и смотрим логи


Просмотр логов подключения RDP

Да, Windows ведет подробные логи подключения, только они сильно спрятаны в настройках и немного не очевидны.

Администрирование —> Просмотр событий —> Журналы приложений и служб —> Microsoft —> Windows —> TerminalServices-LocalSessionManager —> Operational

Включаем шифрование RDP и смотрим логи

  • EventID – 21 (Remote Desktop Services: Shell start notification received) означает успешный запуск оболочки Explorer (появление окна рабочего стола в RDP сессии
  • EventID – 24 (Remote Desktop Services: Session has been disconnected) – пользователь отключился от RDP сессии.
  • EventID – 25 (Remote Desktop Services: Session reconnection succeeded) – пользователь переподключился к своей имеющейся RDP сессии на сервере.
  • EventID – 39 (Session <A> has been disconnected by session <B>) – пользователь сам отключился от своей RDP сессии, выбрав соответствующий пункт меню (а не просто закрыл окно RDP клиента). Если идентификаторы сессий разные, значит пользователя отключил другой пользователь (или администратор).
  • EventID – 40 (Session <A> has been disconnected, reason code <B>). Здесь нужно смотреть на код причины отключения в событии. Например:
    • reason code 0 (No additional information is available)– обычно говорит о том, что пользователь просто закрыл окно RDP клиента.
    • reason code 5 (The client’s connection was replaced by another connection) – пользователь переподключился к своей старой сессии.
    • reason code 11 (User activity has initiated the disconnect) – пользователь сам нажал на кнопку Disconnect в меню

    Так, а где IP входа? По умолчанию аудит IP отключен. Идем в настройки политик безопасности secpol.msc

    Включаем шифрование RDP и смотрим логи

    Включаем регистрацию Успеха и Отказа

    Вот тут читаем подробнее (+защита от перебора IPBan для Wondows)

    Для создания сложностей ботам (подбор паролей на порту 3389) используем

    Вы можете сохранить ссылку на эту страницу себе на компьютер в виде htm файла

    Вы будете видеть наш сайт у себя в ленте

    Почитать в разделе: RDP

    • Всего статей в разделе: 8
    • Показано статей в списке: 7
    • Сортировка: название по алфавиту

    Борьба с “крестиком” терминального сеанса RDP

    Вот он вредитель (на панели подключений при работе на полном экране) – сисадмины поймут всю боль Проблема в том, что “крестик” только закрывает “Удаленный рабочий стол” на ПК пользователя, но оставляет на сервере открытую терминальную сессию. Если пользователей много – то все их сессии остаются на сервере открытыми и занимают память. Варианты решений. Вообще убрать панель от пользователя – в настройках при создании удаленного рабочего стола (выход только через завершение.
    (Читать полностью. )

    Как включить звук при подключении RDP

    Настраиваем RDP (remote desktop protocol)

    Переключение языков при RDP

    Подключаем RDP Windows XP из Windows 7

    Будет интересно. Основная статья по настройке удаленного рабочего стола. Еще одна статья Подключаем компьютер к рабочему ПК через RDP (Windows 7) Простая задача - есть Windows XP, мы к ней хотим подключиться из Windows 7 через удаленный рабочий стол. Вроде все оно просто - но есть небольшое количество грабелек, разложенных на этом пути. Берем админский бубен: «Мы в город Изумрудный идём дорогой трудной….» Для подключения через RDP нам нужна Windows XP Professional SP3 Да, на форумах полно советов, как из Home сделать Professional. Не верьте. Все советы касаются изменений в реестре. И да - система будет показывать, что она теперь Professional - но это только.
    (Читать полностью. )

    Подключаем компьютер к рабочему ПК через RDP (Windows 7)

    Формат файла RDP

    Это собственно файл - а не ярлык рабочего стола. Данный настроенный файл можно переслать другому пользователю, он его сохранит - и всё будет работать. Более того - это простой текстовый файл, в котором хранятся все настройки удаленного подключения и этот файл можно открыть Блокнотом. Кстати, часть параметров не редактируется через стандартные настройки, их можно вписать руками. Структура файла RDP screen mode id:i: - 1 - удаленный сеанс выполняется в оконном режиме, 2 - в полноэкранном. Редактируется на вкладке ”Экран” окна ”Параметры” средства ”Подключение к удаленному рабочему столу”. use multimon:i: - 0 - запрет поддержки нескольких мониторов, 1 - разрешение поддержки.
    (Читать полностью. )

    Как посмотреть журнал событий в Windows 10

    Просмотр событий в Виндовс 10

    Существует несколько вариантов открытия журнала событий на компьютере с Windows 10, но в целом все они сводятся к ручному запуску исполняемого файла или его самостоятельному поиску в среде операционной системы. Расскажем подробнее о каждом из них.

    Способ 1: «Панель управления»

    Как понятно из названия, «Панель» предназначена для того, чтобы управлять операционной системой и входящими в ее состав компонентами, а также быстрого вызова и настройки стандартных инструментов и средств. Неудивительно, что с помощью этого раздела ОС можно вызвать в том числе и журнал событий.

      Любым удобным способом откройте «Панель управления». Например, нажмите на клавиатуре «WIN+R», введите в строку открывшегося окна выполнить команду «control» без кавычек, нажмите «ОК» или «ENTER» для запуска.

    Ввести в окно Выполнить команду для быстрого вызова Панели управления на компьютере с ОС Windows 10

    Перейти к разделу Администрирования Панели управления в Windows 10

    Открыть Просмотр событий на компьютере с ОС Windows 10

    Способ 2: Окно «Выполнить»

    И без того простой и быстрый в своем выполнении вариант запуска «Просмотра событий», который нами был описан выше, при желании можно немного сократить и ускорить.

      Вызовите окно «Выполнить», нажав на клавиатуре клавиши «WIN+R».

    Окно Выполнить открыто и готово ко вводу команды в Windows 10

    Ввод специальной команды в окно Выполнить для быстрого перехода к Просмотру событий в Windows 10

    Способ 3: Поиск по системе

    Функцию поиска, которая в десятой версии Виндовс работает особенно хорошо, тоже можно использовать для вызова различных системных компонентов, и не только их. Так, для решения нашей сегодняшней задачи необходимо выполнить следующее:

      Нажмите по значку поиска на панели задач левой кнопкой мышки или воспользуйтесь клавишами «WIN+S».

    Варианты открытия окна поиска на компьютере с ОС Windows 10

    Ввод названия и запуск раздела Просмотр событий в ОС Windows 10

    Просмотр журнала событий открыт на компьютере с ОС Windows 10

    Создание ярлыка для быстрого запуска

    Если вы планируете часто или хотя бы время от времени обращаться к «Просмотру событий», рекомендуем создать на рабочем столе его ярлык – это поможет ощутимо ускорить запуск необходимого компонента ОС.

      Повторите шаги 1-2, описанные в «Способе 1» данной статьи.

    Открыть Просмотр событий на компьютере с ОС Windows 10

    Создать ярлык Просмотра событий на рабочем столе Windows 10

    Ярлык Просмотра событий успешно создан на рабочем столе Windows 10

    Заключение

    Из этой небольшой статьи вы узнали о том, как на компьютере с Windows 10 можно посмотреть журнал событий. Сделать это можно с помощью одного из трех рассмотренных нами способов, но если к данному разделу ОС приходится обращаться довольно часто, рекомендуем создать ярлык на рабочем столе для его быстрого запуска. Надеемся, данный материал был полезен для вас.

    Закрыть

    Мы рады, что смогли помочь Вам в решении проблемы.

    Отблагодарите автора, поделитесь статьей в социальных сетях.

    Закрыть

    Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

    Читайте также: