Menu Fermer

Surveiller les connexions RDP, SMB et RPC avec ETWMonitor

Dernière modification : 1 novembre 2022

ETWMonitor est un outil de notification Windows gratuite qui détecte les connexions RDP, SMB et RPC en surveillant les journaux d’événements ETW.
Il vous permet d’afficher une notification lorsque votre PC est la cible d’une connexion utilisant ces protocoles.
Cela peut être pratique si vous utilisez votre appareil dans un réseau LAN non sûr pour prévenir de tentative de piratage.

Ce tutoriel vous montre comment installer et utiliser ETWMonitor.

Surveiller les connexions RDP, SMB et RPC avec ETWMonitor

Comment surveiller les connexions RDP, SMB et RPC avec ETWMonitor

Pour rappel, concernant ces trois protocoles :

  • SMB (Server Message Block) : est le protocole de partage de dossier de Windows
  • RDP (Remote Desktop Protocol) : est le protocole de contrôle d’un PC à distance de Windows
  • RPC (Remote Procedure Call) : permet à un programme sur une machine d’appeler une sous-routine sur une autre machine sans se rendre compte qu’elle est distante

Installer et démarrer ETWMonitor

ETWMonitor
  • Exécutez ETWMonitor_Setup.msi et laissez vous guider pour terminer l’installation
Installer ETWMonitor pour surveiller les connexions RDP, SMB et RPC
  • Puis faites un clic droit sur l’icône ETWMonitor du bureau
  • Et Exécuter en tant qu’administrateur. Pour exécuter systématiquement l’application, faites un clic droit et propriétés puis Compatibilité et cocher Toujours exécuter en tant qu’administrateur
Exécuter ETWMonitor pour surveiller les connexions RDP, SMB et RPC
  • Cliquez sur Oui sur le Contrôle des comptes utilisateur (UAC)
  • Une notification ETWMonitor est démarré s’affiche
  • Une fenêtre CMD s’ouvre, réduisez la mais ne la fermez pas sinon l’application ne sera plus active
Surveiller les connexions RDP, SMB et RPC avec ETWMonitor

A partir de là, l’outil de surveillance est actif dans le système et vous préviendra de toute connexion SMB, RDP ou RDP.

Surveiller Windows avec ETWMonitor

Il ne reste plus qu’à tester l’outil de surveillance et s’assurer de son fonctionnement.

  • Par exemple ci-dessous, on tente de se connecter au partage réseau via l’UNC dans l’explorateur de fichiers
  • ETWMonitor affiche bien une notification pour vous en prévenir avec l’adresse IP source
Surveiller les connexions RDP, SMB et RPC avec ETWMonitor
  • De même, si on tente de se connecter au bureau à distance vers le PC cible, une notification s’affiche. A noter que cela ne fonctionne que si le bureau à distance est actif
Surveiller les connexions RDP, SMB et RPC avec ETWMonitor

La fenêtre CMD historise les tentatives de connexion avec les IP Sources

Surveiller les connexions RDP, SMB et RPC avec ETWMonitor

Toutefois les évènements ne sont pas ajoutés dans les journaux Windows disponibles dans l’observateur d’évènements.

Liens

Comment sécuriser son PC contre les pirates

Tagged ,