服务器摆在机房，我们并不能时时刻刻盯着看着，若是有一天，偶尔运气好，服务器遭受黑客侵入的时候，我们登录了，看到了，那便是运气好。但很多时候是，我们都没有连接，客客一个人连接在上面，操作过后，断开了，我们就比较难发现服务器遭到入侵了。

所以我们有必要记录，每次登录过桌面的IP，这样，就算黑客选在夜深人静的时候再行登录，我们也还是能够在第一时间发现，有异常登录行为。

将下面文件保存到一个文本文件里，重命名后缀为.bat然后运行。

MD C:\WINDOWS\PDPLOG

echo date /t ^>^>RDPlog.txt >>C:\WINDOWS\PDPLOG\PdPLOG.CMD

echo time /t ^>^>RDPlog.txt >>C:\WINDOWS\PDPLOG\PdPLOG.CMD

echo netstat -n -p tcp ^| find ":3389"^>^>RDPlog.txt >>C:\WINDOWS\PDPLOG\PdPLOG.CMD

echo start Explorer >>C:\WINDOWS\PDPLOG\PdPLOG.CMD

:: 添加用户每次进入远程桌面时自动记录下来所用IP，可用来发现黑客踪迹！

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp" /v fInheritInitialProgram /t REG_DWORD /d "00000000" /f

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp" /v WorkDirectory /t REG_SZ /d C:\WINDOWS\PDPLOG\ /f

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp" /v InitialProgram /t REG_SZ /d "C:\WINDOWS\PDPLOG\PdPLOG.CMD" /f

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v fInheritInitialProgram /t REG_DWORD /d "00000000" /f

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v WorkDirectory /t REG_SZ /d C:\WINDOWS\PDPLOG\ /f

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v InitialProgram /t REG_SZ /d "C:\WINDOWS\PDPLOG\PdPLOG.CMD" /f

Echo 记录远程桌面IP策略添加完毕! 请按任意键退出!

PAUSE >nul

echo netstat -n -p tcp ^| find ":3389"^>^>RDPlog.txt >>C:\WINDOWS\PDPLOG\PdPLOG.CMD

上面一句中有个3389数字，这个是远程桌面的默认端口。

如果更改远程桌面的朋友，需要将3389替换为你更改的端口。

这样就设置好了，然后我们可以每天到C:\WINDOWS\PDPLOG\RDPlog.txt这里去查看昨天晚上的日志了。