El RDP o Remote Desktop Protocol es un protocolo de comunicación desarrollado por Microsoft que le permite a un usuario conectarse y controlar un ordenador remoto a través de una red. RDP se utiliza principalmente en entornos empresariales y de negocios, donde los usuarios necesitan acceder a recursos y aplicaciones en equipos remotos desde un dispositivo local. En este post, profundizamos en sus funcionalidades.
¿Cómo funciona el RDP?
El protocolo RDP permite la transmisión de audio, vídeo, teclado y movimientos del ratón desde el dispositivo local al equipo remoto. De este modo, los usuarios pueden interactuar con aplicaciones y datos que residen en el equipo remoto como si estuvieran sentados frente a él. RDP también proporciona seguridad a través de la encriptación de datos y la autenticación de usuarios antes de permitir el acceso remoto.
Algunos eventos del RDP
Network Connection
- Evento: %SystemRoot% \System32 \Winevt \Logs \Microsoft – Windows – TerminalServices – RemoteConnection Manager %4Operational.evtx
- Event ID: 1149
- Description: “User authentication succeeded”
Este es un registro de eventos del RDP que indica que un usuario ha sido autenticado correctamente en el sistema. Esto significa que el usuario ha proporcionado las credenciales correctas, como el nombre de usuario y la contraseña, y que el sistema ha verificado estas credenciales y ha permitido que el usuario acceda al sistema.
Authentication
- Evento: %SystemRoot% \System32 \Winevt \Logs \Security.evtx
- Event ID: 4624
- Description “An account was successfully logged on”
- LogonType: Type3
Este es un registro de seguridad del RDP que se produce cada vez que un usuario inicia sesión en un equipo que ejecuta Windows. Este evento se anota en el registro de eventos de seguridad y proporciona información detallada sobre el inicio de sesión del usuario, como la hora y la fecha, el nombre de usuario utilizado para iniciar sesión, el tipo de inicio de sesión, el nombre del equipo y la dirección IP del equipo desde el que se inició sesión.
Logon
- Evento: %SystemRoot% \System32 \Winevt \Logs \Microsoft – Windows – TerminalServices – LocalSessionManager %4Operational.evtx
- Event ID: 21
- Descriptión: “Remote Desktop Services: Session logon succeeded”
Este evento indica que un usuario ha iniciado sesión con éxito en una sesión de escritorio remoto utilizando Remote Desktop Services (RDS), que es una característica de Microsoft Windows que permite a los usuarios acceder a un ordenador o servidor remoto a través de una red.
Uso de EvtxECmd para analizar eventos del RDP
Existe una herramienta desarrollada por Erick Zimmerman denominada EvtxECmd. Esta es una herramienta de línea de comandos que le permite a los usuarios leer, extraer y convertir registros de eventos (event logs) en formato EVT o EVTX en sistemas operativos Windows. EVT es el formato de archivo utilizado por los sistemas operativos Windows 2000 y Windows XP, mientras que EVTX es el formato de archivo utilizado por los sistemas operativos Windows Vista y posteriores.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEvtxECmd es una herramienta útil para los profesionales de seguridad informática y los administradores de sistemas que necesitan analizar registros de eventos de Windows para detectar posibles amenazas y resolver problemas del sistema. Permite a los usuarios filtrar y buscar registros de eventos específicos, así como convertir archivos de registro en diferentes formatos para su análisis en otras herramientas.
El EvtxECmd lo que hace es parsear, es decir, tomar todos los eventos del sistema y meterlos dentro de un CSV.
Ejecutar EvtxECmd
Para ejecutar esta herramienta solo tenemos que descargarla. Una vez está en nuestro ordenador, vamos a acceder al símbolo del sistema y vamos a buscar, con cd, la carpeta en la que se encuentra el archivo que descargamos. Cuando estemos dentro de la carpeta, vamos a copiar el nombre del archivo y a pegarlo allí, en el símbolo del sistema, junto a la extensión .exe, que es la que corresponde para los archivos ejecutables. Al final, le añadiremos el comando -h:
Hay dos formas de usar esta herramienta:
- Una es sacando todos los eventos por id de una vez.
- La otra es ir sacando evento por evento.
Nosotros te recomendamos más la primera, ya que así puedes ir depurando información y es mucho más fácil.
Para exportar los eventos, solo debemos escribir lo siguiente:
¿Cómo seguir aprendiendo?
Ya hemos visto qué es el RDP y sus diferentes eventos. Si quieres seguir aprendiendo, puedes acceder a nuestro Ciberseguridad Full Stack Bootcamp. Con esta formación de alta intensidad, podrás impulsar tu perfil laboral en pocos meses al especializarte, a nivel tanto teórico como práctico, en el mundo de la seguridad informática. Contarás con un temario íntegro y la guía constante de profesores expertos en el sector, así como con los servicios vitalicios de nuestra Bolsa de Talento para que no te falte nunca empleo. ¡Pide más información ya mismo y empieza. a cambiar tu futuro profesional!