我们的产品(网络取证和分析工具)需要剖析 Windows 200x 服务器上的 RDP 会话和
- 将每个会话映射到登录帐户。
- 跟踪所有访问 Internet 的 TCP/UDP 会话。
- 访问过的网址
- 外部服务器和连接的端口等。
我设计了一个代码,可以通过在每个终端服务器上安装 NT 服务来实现这一点。该服务将挖掘该服务器上的数据并将其推送到我的基于 linux 的设备。或者,它可以将信息记录到本地事件日志,然后我可以使用简单的 WMI 调用来检索此信息。
但是,我想知道是否有一种方法可以通过在外部(通过 WMI 或其他方式)轮询终端服务器并收集相同的信息来检索所有 TCP/UDP 连接。基本上,我正在尝试检查是否有办法避免在 Windows 终端服务器上安装任何东西。
谢谢,
-钱德拉