Professional Documents
Culture Documents
www.100security.com.br /windows-usuarios/
Marcos Henrique
Saber em qual Computador ou Servidor um determinado Usurio Logou ou est Logado pode ser necessrio em
um processo de Auditoria, e como j de conhecimento de todos temos inmeras formas de fazer isso, h muitas
ferramentas que podem auxiliar neste levantamento.
Meu objetivo com este artigo mostrar algumas das formas mais bsicas e funcionais de se fazer isso em um
ambiente de rede.
// Espero que possa ajudar algum, deixe seus comentrios sobre as formas ou solues que voc utiliza para
ajudar outras pessoas.
Cenrio:
Para facilitar o entendimento montei o cenrio abaixo onde o objetivo localizar onde os usurio
100SECURITY\marcos logou ou esta logado.
OPO 01 PsLoggedon
Utilizando a ferramenta PsLoggedon.exe da SysInternals voc pode saber quais usurios esto logados em um
determinado host.
Download: technet.microsoft.com/en-us/sysinternals/psloggedon.aspx
01 Passo
Aps descompactar o arquivo PSTools.zip entre no diretrio PsTools e execute o comando:
C:\>cd PsTools
C:\PsTools>PsLoggedon.exe -x \\SRV-2008
1/10
Resultado:
Os usurios abaixo esto logados no Servidor SRV-2008:
SRV-2008\Administrator
100SECURITY\marcos
OPO 02 qwinsta e rwinsta
Voc pode utilizar o comando responsvel por exibir as informaes sobre as sesses dos Servios de rea de
Trabalho Remota: qwinsta
01 Passo
Execute o comando qwinsta seguido do parmetro /SERVER:<HOST>
C:\>qwinsta /SERVER:SRV-2008
2/10
Resultado:
So exibidas as sesses remotas que esto ativas no servidor SRV-2008
3/10
02 Passo
Caso voc queira finalizar uma das sesses ativas basta utilizar o ID da sesso.
Execute o comando rwinsta
C:\>rwinsta 1 /SERVER:SRV-2008
ID 1 Corresponde ao usurio Administrator
Em seguida execute o comando qwinsta novamente para certificar que a sesso foi finalizada.
4/10
5/10
02 Passo
Escolha uma data e de um duplo-clique no evento 4624 para visualizar todo seu contedo.
Observe as linhas:
Account Name: marcos Exibe o usurio que se logon no domnio.
Source Network Address: 192.168.1.201 Informa em qual host o usurio marcos se logon, este IP refere-se ao
servidor SRV-2008.
6/10
03 Passo
Utilizando o Power Shell voc pode extrair todos os logons realizados pelo usurio marcos, basta executar o
script abaixo:
// Crie a pasta auditoria para centralizar os relatrios.
PS C:\>cd .\auditoria
PS C:\auditoria>Get-EventLog -LogName Security -InstanceID 4624 | Where {$_.Message -match Account
Name:\s+marcos}
7/10
Resultado:
Mostra que o usurio marcos se logou no domnio atravs do host 192.168.1.201
8/10
9/10
Resultado:
A data esta no formato americano mas voc pode customizar o script como quiser.
10/10