Come verificare chi è connesso a Windows Server

Sommario

• Come verificare chi è connesso a Windows Server
  • Controllare sessioni remote con PowerShell
  • Elencare login locali con PsLoggedOn
  • Usare la Gestione attività
• Perché è importante controllare gli utenti connessi
• Checklist per ruoli e runbook di risposta
• Alternative, quando i metodi falliscono e suggerimenti di sicurezza
• FAQ

Come verificare chi è connesso a Windows Server

Di seguito trovi metodi affidabili, semplici e ripetibili per identificare chi sta usando il server in un dato momento. I comandi vanno eseguiti con privilegi amministrativi quando richiesto.

Controllare sessioni remote con PowerShell

Questo metodo identifica connessioni remote ai file e alle risorse condivise.

1. Apri PowerShell come amministratore (clic destro su PowerShell > Esegui come amministratore).
2. Digita il comando seguente e premi Invio:

net session

Uscita tipica: il comando elenca le sessioni remote attive, l’indirizzo IP del client e il tempo di connessione. È uno dei modi più rapidi per verificare chi sta accedendo a risorse condivise attraverso la rete.

Nota: net session mostra sessioni SMB/Condivisioni; non mostra necessariamente ogni sessione RDP o servizi che non usano SMB.

Elencare login locali con PsLoggedOn

PsLoggedOn è uno strumento gratuito della suite Sysinternals di Microsoft per identificare i login locali e gli accessi a risorse senza un login interattivo.

1. Scarica PsTools dal sito ufficiale Sysinternals e estrai l’archivio ZIP.
2. Copia psloggedon.exe in una cartella, ad esempio C:\pstools.
3. Apri il Prompt dei comandi come amministratore.
4. Vai nella cartella con:

cd C:\pstools

5. Esegui:

psloggedon

Vedrai un elenco di utenti localmente connessi e dei processi che accedono alle risorse.

Per controllare un server remoto:

psloggedon \\ServerName

Per cercare un utente specifico nella rete:

psloggedon username

PsLoggedOn è utile per scoprire utenti connessi localmente anche se non hanno una sessione RDP attiva.

Usare la Gestione attività

La Gestione attività (Gestione attività di Windows) è comoda per accesso diretto o sessioni RDS.

1. Premi Ctrl + Shift + Esc per aprire Gestione attività.
2. Vai alla scheda Utenti.

Qui vedrai gli account attualmente connessi, lo stato della sessione (Attiva/Disconnessa) e l’utilizzo delle risorse per ciascuna sessione. È ideale per interventi rapidi su server accessibili fisicamente o tramite RDP.

Perché potresti aver bisogno di controllare gli utenti connessi

• Rilevare accessi non autorizzati o sospetti.
• Risolvere problemi di file bloccati o risorse occupate.
• Identificare sessioni inattive o “ghost” che consumano risorse.
• Supportare audit, conformità e indagini forensi.

Esempi di comandi e scorciatoie utili

• net session — mostra sessioni SMB remote
• psloggedon — elenca login locali e accessi
• qwinsta / query user — elenca sessioni terminal/Remote Desktop
• Get-EventLog -LogName Security — esamina i log di sicurezza per eventi di login

Quando un metodo potrebbe fallire

• net session non mostra sessioni RDP: non è progettato per questo.
• PsLoggedOn richiede accesso amministrativo e talvolta firewall che bloccano RPC remoting.
• La Gestione attività mostra solo sessioni visibili all’host; servizi e accessi tramite API possono non apparire.

Se uno strumento non restituisce informazioni, passare a Event Viewer (Visualizzatore eventi) > Registro sicurezza e cercare Event ID correlati al login (es. 4624, 4634 su Windows Server moderni).

Runbook rapido: indagine su sessione sospetta

1. Identifica sessione sospetta con net session o psloggedon.
2. Se è RDP, esegui:

qwinsta
query user

3. Controlla i dettagli in Event Viewer > Security per gli Event ID di login.
4. Se sospetto, disconnetti la sessione via Gestione attività o con:

logoff 

5. Raccogli log ed esegui scansione antivirus/EDR sul server e sulla macchina client se identificata.
6. Documenta azioni e conserva i log per audit.

Important: quando termini una sessione, avvisa gli utenti e valuta l’impatto su processi in esecuzione.

Checklist per ruolo

• Amministratore di sistema

  • Esegui net session e psloggedon ogni volta che noti degrado prestazioni.
  • Controlla i log di Sicurezza per eventi di accesso anomali.

• Helpdesk

  • Usa Gestione attività per identificare e disconnettere sessioni RDP inattive.
  • Raccogli ID sessione e timestamp prima di prendere azioni invasive.

• IT Security

  • Integra monitoraggio delle sessioni con SIEM.
  • Verifica policy di timeout per RDP e MFA per accessi remoti.

Alternative e approcci avanzati

• Event Viewer (Visualizzatore eventi) > Registri di Windows > Sicurezza: per cronologia completa dei login.
• PowerShell avanzato: script che interrogano Win32_LogonSession e Win32_LoggedOnUser via WMI/CIM.
• Soluzioni commerciali/EDR: per correlate attività e investigazioni automatizzate.

Sicurezza e privacy (note GDPR e buone pratiche)

• Tratta i log di accesso come dati sensibili: limita l’accesso ai soli ruoli necessari.
• Conserva i log secondo la policy aziendale e la normativa applicabile.
• Usa autenticazione a più fattori (MFA) per accessi remoti e limiti di sessione automatici per ridurre rischio di account compromessi.

Fatti chiave

• net session è veloce ma limitato alle sessioni SMB.
• PsLoggedOn rivela login locali e accessi a risorse.
• Gestione attività è adatta per interventi manuali su sessioni RDP/direct login.

Diagramma decisionale

flowchart TD
  A[Devo sapere chi è connesso?] --> B{Accesso remoto o locale?}
  B -- Remoto --> C[Apri PowerShell come admin e esegui net session]
  B -- Locale --> D[Esegui psloggedon]
  C --> E{È una sessione RDP?}
  E -- Sì --> F[Usa qwinsta / query user o Gestione attività]
  E -- No --> G[Controlla Event Viewer > Security]
  D --> G
  F --> H[Se sospetto: logoff, raccolta log, scansione malware]

Sommario finale

Controllare chi è connesso a Windows Server è essenziale per sicurezza, troubleshooting e conformità. Usa net session per connessioni SMB, PsLoggedOn per login locali e Gestione attività per interventi diretti su sessioni RDP. Integra questi controlli in procedure operative e monitora i log di sicurezza per visibilità completa.

FAQ

Come posso vedere chi è connesso al server da remoto?

Esegui net session in una finestra PowerShell elevata per vedere le sessioni remote e gli IP connessi.

Quale strumento mostra i login locali su Windows Server?

PsLoggedOn (Sysinternals) mostra utenti locali e processi che accedono a risorse del server.

Posso usare la Gestione attività per controllare i login?

Sì. Apri Gestione attività (Ctrl + Shift + Esc), vai alla scheda Utenti per vedere sessioni attive o disconnesse.

Windows Server registra ogni tentativo di accesso?

Sì, i dettagli di login vengono registrati nel registro Sicurezza. Usa il Visualizzatore eventi per analizzare gli eventi come 4624 (login riuscito) o 4625 (login fallito).

PsLoggedOn è sicuro?

Sì, PsLoggedOn è parte di Sysinternals, distribuito da Microsoft ed è ampiamente usato dagli amministratori di sistema.

Criteri di accettazione:

• Gli amministratori devono essere in grado di identificare almeno una sessione sospetta usando uno dei tre metodi descritti.
• I passaggi del runbook devono poter essere eseguiti in meno di 15 minuti per una risposta iniziale.

Glossario rapido:

• RDP: protocollo Remote Desktop Protocol per accesso remoto.
• SMB: Server Message Block, protocollo di condivisione file.