У нас есть несколько общих привилегированных учетных записей, которые IS Security теперь хочет отслеживать до человека, который их использовал. Это где-то зарегистрировано или есть способ (желательно с помощью Powershell) найти его (или принудительно создать собственный журнал событий с помощью сценариев входа в систему)? Пример: пользователь «Джо» вошел в систему на своем ноутбуке, а затем открывает сеанс rdp на сервере «Tuxedo», используя учетную запись «суперпользователя». Как мне отслеживать / находить / регистрировать взаимосвязь между «Джо» и «суперпользователем»?
Коротко говоря, вы не можете. Единственное, что заботит протокол RDP, - это то, под кем вы подключаетесь к удаленному серверу. На сервере или в протоколе нет ничего, что могло бы сказать вам, кто инициировал соединение, кроме IP-адреса клиента.
Если у вас уже есть доступ к клиентской системе, лучшее, что вы можете сделать, это сопоставить IP-адрес клиента с клиентской системой и проверить журналы клиентской системы, чтобы узнать, кто вошел в систему одновременно с инициированием сеанса RDP.
Лучшее решение - отказаться от использования общих учетных записей. Но если есть какая-то техническая причина, по которой вам нужно их сохранить, вам следует заблокировать доступ к паролю в каком-то корпоративном хранилище паролей, которое проверяет, кто проверяет текущий пароль, и в идеале автоматически меняет его после того, как он возвращается.
Каждый должен использовать свою уникальную учетную запись «суперпользователя», а не универсальную или универсальную учетную запись «суперпользователя».