Posted in SERVER, Sunucu, WindowsServer

Windows RDP ile Giriş Yapan Kullanıcıların IP Bilgisini Öğrenme

   10 Ekim 2025  Leave a Comment on Windows RDP ile Giriş Yapan Kullanıcıların IP Bilgisini Öğrenme

Bu makalede sunucular üzerine RDP yapan kullanıcı bilgilerinin nereye kaydedildiğini görmüş olacağız. Güvenlik ve denetim açısından, RDP ile sisteme kimlerin bağlandığını ve hangi IP adreslerinden erişim sağlandığını takip etmek kritik önem taşır. Bu makalede, Windows işletim sistemlerinde RDP ile giriş yapan kullanıcıların IP bilgilerini nasıl öğrenebileceğinizi çeşitli yöntemlerle ele alacağız.

Remote Connection log bilgileri bağlantı yapılan Windows sunucusu üzerinde Event Viewer üzerinden görebiliriz.

Bunun için Sunucu arama kısmına Event Viewer yazdıktan sonra gelen ekranda Applications and Services Logs bölümünde bulunan Microsoft bölümü açılır.

Microsoft bölümünde TerminalServices-RemoteConnectionManager bölümünde bulunan Operational kısmına tıklanır.

Aşağıdaki resimde sağ tarafta bulunan kısmında RDP bağlantısını yapan kullanıcılarımızı görebiliriz. Event ID 1149 olan bağlantıların kullanıcıların RDP bağlantısını sağladığı Eventtir.

192.168.1.45 kullanıcı ip’sine sahip kullanıcının bağlantı sağladığı sunucu görülmektedir.

Aşağıdaki PowerShell komutunu kullanarak RDP bağlantılarını listeleyebilirsiniz:

Get-EventLog -LogName Security -InstanceId 4624 | 
Where-Object {$_.ReplacementStrings[8] -eq 10} | 
Select-Object @{Name='Kullanıcı';Expression={$_.ReplacementStrings[5]}}, 
              @{Name='IP Adresi';Expression={$_.ReplacementStrings[18]}}, 
              TimeGenerated

Aşağıdaki komut, 3389 portundan (varsayılan RDP portu) cmd komut satırıyla bağlantıları gösterir.

netstat -an | findstr :3389

PowerShell Script ile otomatik rapor belirtilen dizi altına oluşturabiliriz.

# RDP bağlantı raporu oluşturma scripti
$RDPEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} | 
    Where-Object {$_.Properties[8].Value -eq 10}

$RDPReport = @()
foreach ($Event in $RDPEvents) {
    $ReportLine = [PSCustomObject]@{
        Kullanici = $Event.Properties[5].Value
        IPAdresi = $Event.Properties[18].Value
        Tarih = $Event.TimeCreated
        Bilgisayar = $Event.MachineName
    }
    $RDPReport += $ReportLine
}

$RDPReport | Export-Csv -Path "C:\RDP_Logs.csv" -NoTypeInformation
Write-Host "RDP bağlantı raporu oluşturuldu: C:\RDP_Logs.csv"

RDP bağlantılarını izlemek, güvenlik yönetiminin önemli bir parçasıdır. Yukarıda belirtilen yöntemlerle, Windows sisteminize RDP ile bağlanan kullanıcıların IP bilgilerini efektif bir şekilde takip edebilir, olası güvenlik tehditlerine karşı proaktif önlemler alabilirsiniz. Hangi yöntemi seçerseniz seçin, düzenli izleme ve raporlama yapmak sistem güvenliğiniz açısından kritik önem taşımaktadır.

Başka makalede görüşmek dileğiyle..

Ey iman edenler, sabırla ve namazla yardım dileyin. Gerçekten Allah, sabredenlerle beraberdir.

Bakara Suresi, 153. Ayet

Görüntüleme: 6
Author: Yunus YÜCEL

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir