PsLoggedOnを使い倒せ! ~コンピュータへのログオン状況を確認する~
~IT管理者必携! 無償のツール集を徹底解説~「Windows Sysinternals」には、リモートから特定の操作が行える「Ps」ツール群がある。「PsLoggedOn」はコンピュータへのログオン状況を確認するためのツールだ。今回は、PsLoggedOnを使って、不適切なアクセスが行われていないかどうかを確認する方法を紹介しよう。
[使い倒しテク]
自分が管理しているサーバに対して、不適切なアクセスが行われていないか常に不安です。現在、サーバにだれがアクセスしているのかを簡単に確認する方法はないでしょうか?
PsLoggedOnを使えば、リソースに対するアクセスを含めた、サーバへのログオン状況が簡単に確認できます
Windowsでは特別なツールを使わなくても、標準機能で「リモートデスクトップサービス」(ターミナルサービス)によるログオン状況を「タスクマネージャー」から確認することができる。また、ファイルサーバへのアクセス状況についても「net session」コマンドを利用すれば確認することができる。
これに対し、Sysinternalsの「PsLoggedOn」は、コンピュータへのログオン状況とファイル共有などのリソースへのアクセス状況をまとめて表示できるのが特徴のツールだ。
■PsLoggedOn
[URL]http://technet.microsoft.com/ja-jp/sysinternals/bb897545
PsLoggedOnはコマンドプロンプトから実行する(画面1)。
画面1:実行結果から「administrator」ユーザーによるログオンと「kunii」ユーザーによるリソーアクセスが確認できた
画面1の実行結果を見ると、「Users logged on Locally」と「Users logged on via resource shares」の2項目が表示されていることが確認できる。
「Users logged on locally」では、コンピュータに直接ログオンしているユーザーの情報とログオンを行った時間を確認できる。この項目には、主にローカルログオン(コンピュータから直接「Ctrl」+「Alt」+「Del」キーを押して行うログオン)しているユーザーの情報や、リモートデスクトップサービス(またはターミナルサービス)などを使ってリモートからサーバにログオンしているユーザーの情報が含まれる。
「Users logged on via resource shares」では、共有フォルダなどのリソースにアクセスしているユーザーの情報と、アクセスを開始した時間が確認できる。
それでは、アクセスの種類ごとにPsLoggedOnではどのように表示されるか、実際に見てみよう。
■リモートデスクトップサービスやターミナルサービスによるアクセス
「リモートデスクトップサービス」や「ターミナルサービス」(以下、RDS)によるアクセスの場合はRDSのサーバにログオンすることになるため、RDSによるアクセスは「Users logged on Locally」に状況が表示される(画面2)。参考までに、「RemoteApp」というリモートデスクトップサービスで提供されるアプリケーションを利用した場合も、PsLoggedOnでは同様に状況が表示される。
画面2:RDSを利用して「kunii」ユーザーでログオンしたときの様子
■リモートデスクトップやリモートアシスタンスによるアクセス
リモートデスクトップやリモートアシスタンスによるアクセスは、ローカルログオンのセッション情報をそのまま利用するため(ローカルログオンとは別のログオンをするわけではないので)、PsLoggedOnではその状況を確認できない。
ただし、PsLoggedOnでは確認できなくても、リモートデスクトップが使われていれば、ローカルデスクトップの画面はロックされるので、PsLoggedOnを使うまでもなく確認できるはずだ。
.gif)
