Remove From My Forums

内网部署了MSRA远程协助。请问如何审计MSRA的发起记录？或者这个记录会保存在哪里呢？

问题
0

登录进行投票
如题，我们的域部署了msra远程组，技术支持可以根据IP直接向其他域用户发起远程。

问题是如何审计这些操作，如果是保存在特定地点的日志，或许我们可以通过其他软件收集审计。
- 已编辑湘伦 2017年11月16日 2:48
2017年11月16日 2:48

回复

|

引用

全部回复

0

登录进行投票

你好！我想请问域中如何部署MSRA?域内所有计算机生成邀请文件？需要链接哪台，就用那台的邀请文件？

2017年11月17日 3:54

回复

|

引用
0

登录进行投票
域下发组策略，远程协助。指定允许某个群组的人员可以主动根据IP发起远程。
使用此策略设置可以打开或关闭此计算机上的“提供远程协助”。

如果启用此策略，则此计算机上的用户可以使用“提供远程协助”从其企业技术支持人员处获得帮助。

如果禁用此策略，则此计算机上的用户无法使用“提供远程协助”从其企业技术支持人员处获得帮助。

如果未配置此策略，则此计算机上的用户无法使用“提供远程协助”从其企业技术支持人员处获得帮助。

如果启用此策略，则有两种方法允许帮助者提供远程协助: “只允许帮助者查看计算机”或“允许帮助者远程控制计算机”。配置此策略设置时，还会指定允许提供远程协助的用户或用户组的列表。

若要配置帮助者列表，请单击“显示”。在打开的窗口中，可以输入帮助者的姓名。逐个添加每个用户或组。在输入帮助者用户或用户组的名称时，请使用以下格式:

<域名>\<用户名> 或

<域名>\<组名>

如果启用此策略，则还应启用防火墙例外以允许远程协助通信。“提供远程协助”所需的防火墙例外取决于正在运行的 Windows 版本。

Windows Vista 及更高版本

为域配置文件启用远程协助例外。该例外必须包含:
端口 135:TCP
%WINDIR%\System32\msra.exe
%WINDIR%\System32\raserver.exe

Windows XP Service Pack 2 (SP2)和 Windows XP Professional x64 Edition Service Pack 1 (SP1)

端口 135:TCP
%WINDIR%\PCHealth\HelpCtr\Binaries\Helpsvc.exe
%WINDIR%\PCHealth\HelpCtr\Binaries\Helpctr.exe
%WINDIR%\System32\Sessmgr.exe

对于运行 Windows Server 2003 Service Pack 1 (SP1)的计算机
- 已编辑湘伦 2017年11月17日 4:05
- 已建议为答案 HeeMax 2017年11月17日 5:28
2017年11月17日 4:04

回复

|

引用
0

登录进行投票
好的。谢谢。没注意看组策略。
- 已编辑 HeeMax 2017年11月17日 6:45
2017年11月17日 5:28

回复

|

引用
0

登录进行投票

1.日志查看器里面有当前计算机发起的记录。不过无法确认对方计算机。

2.MSRA界面里有一个历史记录。

日志名称:          Microsoft-Windows-RemoteAssistance/Operational
来源:            Microsoft-Windows-RemoteAssistance
日期:            2017/11/17 14:33:17
事件 ID:         22
任务类别:          无
级别:            详细
关键字:
用户:    ***
计算机: ***.local
描述:
该帮助者现在可以查看屏幕。

3.用组策略下发任务计划发生事件

这个我正在弄，应该可以。

2017年11月17日 7:00

回复

|

引用
0

登录进行投票

你好，

请查看Windows远程协助是否设置了保存这个会话的日志，并在C:\用户\username\我的文档文件夹下查看Remote Assistance Logs。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2017年11月17日 7:56

回复

|

引用
0

登录进行投票
你好，

请查看Windows远程协助是否设置了保存这个会话的日志，并在C:\用户\username\我的文档文件夹下查看Remote Assistance Logs。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

你这个，在组策略里面就有，不用这样单独设置。

这个可以用我上面提到的三个方法，任务计划事件触发当发生远程协助的事件的时候用一个脚本把日志上传到共享建立以计算机名＋日期时间建立的文件夹里面。

我已经弄好了，不过是建立文本写入计算机名，用户名，ip等，没有上传日志。
- 已编辑 HeeMax 2017年11月17日 14:29
2017年11月17日 14:26

回复

|

引用
0

登录进行投票

关于您在帖子中提到的问题有更新吗？或者需要我为您提供什么帮助吗？
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2017年11月20日 4:11

回复

|

引用
0

登录进行投票

你好，我也是在困扰这个记录的问题，能否提供一下你的脚本，我参考一下，谢谢
zx513972201@gmail.com

2017年11月21日 6:51

回复

|

引用
0

登录进行投票

你好，
如果你需要脚本的帮助的话，由于本论坛资源有限，不是最好的咨询途径，更好的资源建议到脚本论坛进行咨询（英文论坛）：
https://social.technet.microsoft.com/Forums/windows/en-US/home?category=scripting&filter=alltypes&sort=lastpostdesc
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2017年11月22日 5:43

回复

|

引用
0

登录进行投票
如要上传日志，请按以下步骤设置。

1.组策略-计算机配置-管理模板-系统-远程协助-启用会话日志记录-已启用2.组策略-计算机配置-首选项-控制面板设置-计划任务-新建-计划任务（至少是Windows7）

A.用户账户我选的是：Domain Users

B.触发器-选择“发生事件时”，日志选择“Microsoft-Windows-RemoteAssistance/Operational”，源选择“Microsoft-Windows-RemoteAssistance”，事件ID选择“30”。

*关于事件ID请查看“事件查看器”参考。经测试请勿选择“15”，因“远程协助”日志的产生发生于“事件ID:15”之后，会导致没产生新日志而重复复制旧日志。

*控制端在被控端未允许之前取消，被控端并不会产生事件ID:30 事件。

*事件ID:16，应该是控制端独有ID。

C.操作-选择“启动程序”-选择脚本路径。

D.按回车确定。

3.批处理bat：

@echo off

::取 "文档" 路径

REG QUERY "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders">%Temp%\msrai.txt

FOR /F "TOKENS=2* DELIMS= " %%I IN ('TYPE %Temp%\msrai.txt^|FINDSTR /I "Personal"') DO ( SET "Personal=%%~J" )

del %Temp%\msrai.txt

::建立以计算机名命名的文件夹

md \\**\%computername%

::复制最新的文件至共享

cd/d "%Personal%\Remote Assistance Logs"

for /f "delims=" %%i in ('dir/b/od *.xml')do set "fn=%%i"

copy "%fn%" "\\**\"%computername%
- 已建议为答案 HeeMax 2019年11月7日 2:50
2017年11月23日 2:05

回复

|

引用