質問
基本的にはイベントログの設定を調整することで解決するのが本筋なのでしょうが、ログに残すのが難しいということなのでしょうか。
Windows標準のネットワークモニタを使用して3389ポートへのTCPコネクションを監視し、
セッション開始のSynパケットと終了を示すFin、Rstパケットのみ記録に残すようにしたらどうでしょうか。
監査の視点ではログインユーザーの記録ではなく、アクセス元端末のIPアドレスから追うことになりますが。
サーバ上で監視用サービスを立ち上げなければならないことがデメリットです。
もう一台アクセス監視用サーバを設置できれば、ログの改ざんの難しいセキュアな監査環境になると思いますが、そこまで手間をかけるのも如何かなという感じですね。
あまり良いアイデアでなくてスミマセン。。
サーバにリモートデスクトップでアクセスする人が管理できないほど大人数なのでしょうか? そうだとしたらそちらのほうが問題と思います。
サーバにリモートデスクトップでアクセスするのは普通はサーバの管理者なので多くても数人でしょう。それに対して「きちんとログオフせよ」が徹底出来ないとしたら、それこそ統制がとれていないと思います。
実質的なサーバアクセス時間が捉えられなくなってしまう
リモートデスクトップでアクセスを管理しなければならないほど頻繁に使用するとはどんな業務なのでしょう。
ウチではサーバにリモートデスクトップでアクセスする者は3名居ますがログも取っていないし、頻繁にアクセスすることもありません(設定を変える時くらいですが、それは必ず書面申請があるので3人とも承知しています)
質問
皆さんこんにちは。
内部統制の一環で、リモートデスクトップ経由でのサーバアクセスログの
妥当性チェックを毎月行っているのですが、
そこでちょっとした問題を抱えております。
担当者がサーバアクセスの都度ログオン/ログオフを励行してくれればよいのですが、
たまにそれをせずにセッションだけ切って作業終了してしまう者がおり、
実質的なサーバアクセス時間が捉えられなくなってしまうケースがあるのです。
確実にログオン/ログオフをしてもらう良い方法は無いでしょうか。
もしくは、それをせずとも実質的なサーバアクセス時間を捉える方法でも結構です。
最近の総合セキュリティツールでは画面操作を録画できるようですが、
仮にそういったものを導入したとしても、毎月のチェックで一つ一つ録画を
チェックするなんて時間はありませんし。
(録画は有事の際の追跡のためだと思っています)
「違反したら罰則を設ける。」とかいうのではなく、システマチックな仕組みで
良いアイデアがあればお願いします。
(まあセッション断も時には必要でしょうし・・)
解決を強く求められているわけではないのでさほど切実なものではありませんが、
よいお知恵ありましたらよろしくお願いします。