Surveiller les connexions RDP, SMB et RPC avec ETWMonitor

ETWMonitor est un outil de notification Windows gratuite qui détecte les connexions RDP, SMB et RPC en surveillant les journaux d’événements ETW.
Il vous permet d’afficher une notification lorsque votre PC est la cible d’une connexion utilisant ces protocoles.
Cela peut être pratique si vous utilisez votre appareil dans un réseau LAN non sûr pour prévenir de tentative de piratage.

Ce tutoriel vous montre comment installer et utiliser ETWMonitor.

Comment surveiller les connexions RDP, SMB et RPC avec ETWMonitor

Pour rappel, concernant ces trois protocoles :

• SMB (Server Message Block) : est le protocole de partage de dossier de Windows
• RDP (Remote Desktop Protocol) : est le protocole de contrôle d’un PC à distance de Windows
• RPC (Remote Procedure Call) : permet à un programme sur une machine d’appeler une sous-routine sur une autre machine sans se rendre compte qu’elle est distante

Installer et démarrer ETWMonitor

ETWMonitor

• Exécutez ETWMonitor_Setup.msi et laissez vous guider pour terminer l’installation

• Puis faites un clic droit sur l’icône ETWMonitor du bureau
• Et Exécuter en tant qu’administrateur. Pour exécuter systématiquement l’application, faites un clic droit et propriétés puis Compatibilité et cocher Toujours exécuter en tant qu’administrateur

• Cliquez sur Oui sur le Contrôle des comptes utilisateur (UAC)
• Une notification ETWMonitor est démarré s’affiche
• Une fenêtre CMD s’ouvre, réduisez la mais ne la fermez pas sinon l’application ne sera plus active

A partir de là, l’outil de surveillance est actif dans le système et vous préviendra de toute connexion SMB, RDP ou RDP.

Surveiller Windows avec ETWMonitor

Il ne reste plus qu’à tester l’outil de surveillance et s’assurer de son fonctionnement.

• Par exemple ci-dessous, on tente de se connecter au partage réseau via l’UNC dans l’explorateur de fichiers
• ETWMonitor affiche bien une notification pour vous en prévenir avec l’adresse IP source

• De même, si on tente de se connecter au bureau à distance vers le PC cible, une notification s’affiche. A noter que cela ne fonctionne que si le bureau à distance est actif

La fenêtre CMD historise les tentatives de connexion avec les IP Sources

Toutefois les évènements ne sont pas ajoutés dans les journaux Windows disponibles dans l’observateur d’évènements.

Liens

Comment sécuriser son PC contre les pirates

• Comment protéger son PC des hackers ou pirates
• Comment sécuriser son routeur contre les piratages
• Sécuriser sa connexion Wi-Fi contre les pirates ou hacker
• Comment protéger et sécuriser ses comptes internet
• Comment vérifier si ordinateur a été hacké ou piraté ?

L’article Surveiller les connexions RDP, SMB et RPC avec ETWMonitor est apparu en premier sur malekal.com.