Windows Onde o Usurio Logou ou est Logado?

www.100security.com.br /windows-usuarios/
Marcos Henrique
Saber em qual Computador ou Servidor um determinado Usurio Logou ou est Logado pode ser necessrio em
um processo de Auditoria, e como j de conhecimento de todos temos inmeras formas de fazer isso, h muitas
ferramentas que podem auxiliar neste levantamento.
Meu objetivo com este artigo mostrar algumas das formas mais bsicas e funcionais de se fazer isso em um
ambiente de rede.
// Espero que possa ajudar algum, deixe seus comentrios sobre as formas ou solues que voc utiliza para
ajudar outras pessoas.
Cenrio:
Para facilitar o entendimento montei o cenrio abaixo onde o objetivo localizar onde os usurio
100SECURITY\marcos logou ou esta logado.

OPO 01 PsLoggedon
Utilizando a ferramenta PsLoggedon.exe da SysInternals voc pode saber quais usurios esto logados em um
determinado host.
Download: technet.microsoft.com/en-us/sysinternals/psloggedon.aspx
01 Passo
Aps descompactar o arquivo PSTools.zip entre no diretrio PsTools e execute o comando:
C:\>cd PsTools
C:\PsTools>PsLoggedon.exe -x \\SRV-2008

1/10

Resultado:
Os usurios abaixo esto logados no Servidor SRV-2008:
SRV-2008\Administrator
100SECURITY\marcos
OPO 02 qwinsta e rwinsta
Voc pode utilizar o comando responsvel por exibir as informaes sobre as sesses dos Servios de rea de
Trabalho Remota: qwinsta
01 Passo
Execute o comando qwinsta seguido do parmetro /SERVER:<HOST>
C:\>qwinsta /SERVER:SRV-2008

2/10

Resultado:
So exibidas as sesses remotas que esto ativas no servidor SRV-2008

3/10

02 Passo
Caso voc queira finalizar uma das sesses ativas basta utilizar o ID da sesso.
Execute o comando rwinsta
C:\>rwinsta 1 /SERVER:SRV-2008
ID 1 Corresponde ao usurio Administrator
Em seguida execute o comando qwinsta novamente para certificar que a sesso foi finalizada.

Confirmando no Servidor: SRV-2008

4/10

OPO 03 Active Directory | EventViewer | PowerShell

Quando um usurio loga no domnio o acesso registrado no evento 4624 do Log Security e atravs deste evento
possvel identificar em qual o ip do computador que o usurio esta ou estava utilizando no momento deste logon.
01 Passo
Dentro do servidor de Active Directory no exemplo DC-2012 acesse o Event Viewer > Windows Logs > Security
e clique na coluna EventID para filtrar todos os eventos, em seguida localize o evento 4624

5/10

02 Passo
Escolha uma data e de um duplo-clique no evento 4624 para visualizar todo seu contedo.
Observe as linhas:
Account Name: marcos Exibe o usurio que se logon no domnio.
Source Network Address: 192.168.1.201 Informa em qual host o usurio marcos se logon, este IP refere-se ao
servidor SRV-2008.

6/10

03 Passo
Utilizando o Power Shell voc pode extrair todos os logons realizados pelo usurio marcos, basta executar o
script abaixo:
// Crie a pasta auditoria para centralizar os relatrios.
PS C:\>cd .\auditoria
PS C:\auditoria>Get-EventLog -LogName Security -InstanceID 4624 | Where {$_.Message -match Account
Name:\s+marcos}

7/10

Resultado:
Mostra que o usurio marcos se logou no domnio atravs do host 192.168.1.201

8/10

OPO 04 Relatrio de Conexes RDP em um Servidor

Este script em Power Shell vai ajud-lo a identificar todos os LOGON/LOGOFF que foram realizados em um ou
mais servidores incluindo o computador que foi utilizado para o acesso.
01 Passo
Realize o download do script: clique aqui em seguida execute-o.
PS C:\>.cd .\auditoria
PS C:\auditoria>.\relatorio_rdp.ps1

9/10

Resultado:
A data esta no formato americano mas voc pode customizar o script como quiser.

10/10