La detección del tiempo de inactividad en los ordenadores es un aspecto crítico para los profesionales de TI, especialmente en la era del aumento de las amenazas a la ciberseguridad y la gestión de recursos. A medida que las organizaciones se digitalizan rápidamente y los usuarios suelen permanecer conectados durante largos periodos, detectar el tiempo de inactividad del usuario se convierte en algo primordial tanto por motivos de seguridad como operativos. En este post, profundizaremos en un script de PowerShell diseñado para detectar el tiempo de inactividad del usuario, haciendo que la tarea sea fluida y eficiente.
Antecedentes
La capacidad de determinar cuánto tiempo ha estado inactivo un usuario puede proporcionar información valiosa para los profesionales de TI y los proveedores de servicios gestionados (MSP). Tanto si se trata de liberar recursos como de garantizar que las sesiones no permanezcan abiertas a posibles amenazas para la seguridad, o incluso de consideraciones de facturación para los proveedores de servicios en la nube, disponer de un método eficaz y fiable para determinar la inactividad de los usuarios se convierte en algo esencial. Este script en particular le saca el máximo partido a PowerShell para interactuar directamente con el sistema operativo Windows y extraer datos relevantes para medir los tiempos de inactividad.
El script para detectar el tiempo de inactividad del usuario
#Requires -Version 5.1 <# .SYNOPSIS Returns the longest idle time of any user logged in or for a specific user. .DESCRIPTION Returns the longest idle time of any user logged in or for a specific user. If RDS(Remote Desktop Services) is installed and the RSAT tools for it as well, then this will get the idle time of each logged in user. For workstations and servers(with out RDS installed), this will get the current idle of the currently logged in user. If a user is logged in via the console and another is via the admin RDP session, then both will be considered as one user for calculating idle time. .EXAMPLE No parameters needed. Returns the longest idle time of all users logged in. .EXAMPLE -UserName "Fred" Returns the longest idle time of the user Fred. .EXAMPLE PS C:> Get-User-Idle-Time.ps1 -UserName "Fred" Returns the longest idle time of the user Fred. .OUTPUTS PSCustomObject[] .NOTES Minimum OS Architecture Supported: Windows 10, Windows Server 2016 Release Notes: Adds functions to get idle time from RDS and non-RDS computers. By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use. Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA). .COMPONENT ManageUsers #> [CmdletBinding()] param ( # Specify one user on a Terminal Services Server, else leave blank for normal servers and workstations [Parameter(Mandatory = $false)] $UserName ) begin { function Test-IsElevated { $id = [System.Security.Principal.WindowsIdentity]::GetCurrent() $p = New-Object System.Security.Principal.WindowsPrincipal($id) if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)) { Write-Output $true } else { Write-Output $false } } Function Get-QueryUser() { Param() $Result = @() # Replaces all occurrences of 2 or more spaces in a row with a single comma $Lines = @(query.exe user).foreach({ $(($_) -replace ('s{2,}', ',')) }) if ($Lines.Count -gt 1) { $Header = $($Lines[0].split(',').trim()) for ($i = 1; $i -lt $($Lines.Count); $i++) { $Res = "" | Select-Object $Header $Line = $($Lines[$i].split(',')).foreach({ $_.trim().trim('>') }) # Accounts for disconnected users if ($Line.count -eq 5) { $Line = @($Line[0], "$($null)", $Line[1], $Line[2], $Line[3], $Line[4] ) } for ($j = 0; $j -lt $($Line.count); $j++) { $Res.$($Header[$j]) = $Line[$j] } $Result += $Res Remove-Variable Res } return $Result } else { return $null } } Add-Type @" using System; using System.Runtime.InteropServices; using System.ComponentModel; namespace GetLastUserInput { public class GetLastUserInput { private struct LASTINPUTINFO { public uint cbSize; public uint dwTime; } private static LASTINPUTINFO lastInPutNfo; static GetLastUserInput() { lastInPutNfo = new LASTINPUTINFO(); lastInPutNfo.cbSize = (uint)Marshal.SizeOf(lastInPutNfo); } [DllImport("User32.dll")] private static extern bool GetLastInputInfo(ref LASTINPUTINFO plii); /// <summary> /// Idle time in ticks /// </summary> /// <returns></returns> public static uint GetIdleTickCount() { return ((uint)Environment.TickCount - GetLastInputTime()); } /// <summary> /// Last input time in ticks /// </summary> /// <returns></returns> public static uint GetLastInputTime() { if (!GetLastInputInfo(ref lastInPutNfo)) { throw new Win32Exception(Marshal.GetLastWin32Error()); } return lastInPutNfo.dwTime; } } } "@ } process { if (-not (Test-IsElevated)) { Write-Error -Message "Access Denied. Please run with Administrator privileges." exit 1 } if ($(Get-Module -Name "RemoteDesktop") -and $(Get-RDServer -ErrorAction SilentlyContinue)) { try { $Sessions = Get-RDUserSession $Sessions | Select-Object UserName, IdleTime } catch { Write-Warning -Message "A Remote Desktop Services deployment does not exist on $env:COMPUTERNAME." } } else { Write-Warning -Message "Remote Desktop Services is not installed on this computer, Falling back to query user." $Results = Get-QueryUser if ($null -eq $Results) { Write-Host "No user(s) logged in." exit 0 } # Parse query results and loop through each user $Results | ForEach-Object { $CurrentUser = $_.USERNAME # If UserName param is used, only filter that user; If UserName param isn't used, return all users if ($CurrentUser -like $UserName -or ([string]::IsNullOrEmpty($UserName) -or [string]::IsNullOrWhiteSpace($UserName))) { # Output a PowerShell Custom Object array [PSCustomObject]@{ UserName = $CurrentUser SessionName = $_.SESSIONNAME Id = $_.ID State = $_.STATE LogonTime = $_.'LOGON TIME' IdleTime = if ($_.'IDLE TIME' -like 'none') { 0 }else { $_.'IDLE TIME' } } } } | Sort-Object -Property IdleTime | Select-Object -Property UserName, @{ # Modify IdleTime when it shows none Label = "IdleTime" Expression = { New-TimeSpan -Start $(Get-Date) -End $(Get-Date).AddMilliseconds([GetLastUserInput.GetLastUserInput]::GetIdleTickCount()) } } } } end {}
Accede a más de 300 scripts en el Dojo de NinjaOne
Análisis detallado
- Vinculación y parámetros del cmdlet: el script comienza con un CmdletBinding, que permite su uso como cmdlet. Contiene un parámetro opcional para un nombre de usuario específico.
- Funciones internas:
- Test-IsElevated comprueba si el script se ejecuta con privilegios administrativos.
- Get-QueryUser interactúa con query.exe para obtener información sobre los usuarios actuales.
- Integración de la biblioteca externa: se utiliza una biblioteca externa (GetLastUserInput) para obtener el recuento exacto de ticks inactivos.
- Bloque del proceso: aquí se realiza la operación principal.
- En primer lugar, comprueba si el script se ejecuta con derechos de administrador.
- Si los Servicios de Escritorio Remoto (RDS) están instalados, obtiene el tiempo de inactividad de cada usuario conectado.
- Si el RDS no está presente, se vuelve al enfoque de consulta al usuario y se calcula el tiempo de inactividad basándose en la última entrada del usuario.
Posibles casos de uso
Imagina que eres administrador de TI en una empresa mediana. Te habrás dado cuenta de que muchos usuarios dejan sus puestos de trabajo encendidos y conectados, incluso fuera del horario de oficina. No sólo es un riesgo para la seguridad, sino que también consume recursos de red y energía. Al desplegar este script en toda la empresa, puedes determinar rápidamente qué usuarios están trabajando activamente y qué estaciones de trabajo han estado inactivas. Con esta información, puedes aplicar políticas de cierre automático o enviar recordatorios a los usuarios para que apaguen sus dispositivos.
Comparaciones
Aunque existen herramientas de terceros que detectan el tiempo de inactividad, a menudo vienen con una sobrecarga añadida o pueden no tener el detalle granular necesario. Algunos podrían optar por consultar el registro de sucesos de Windows en busca de eventos específicos, pero ese enfoque podría pasar por alto matices como la ejecución de un vídeo que mantiene la sesión activa. Este script proporciona un método directo y personalizable, aprovechando las herramientas y comandos nativos de Windows.
Preguntas frecuentes
- ¿Es necesario RDS para este script?
No, está diseñado para detectar el tiempo de inactividad del usuario con y sin RDS. - ¿Cuál es la precisión del cálculo del tiempo de inactividad?
Es preciso al nivel de “tick del sistema” desde la última entrada del usuario.
Implicaciones
Detectar el tiempo de inactividad del usuario no es sólo una cuestión de gestión de recursos. Una sesión abierta e inactiva podría ser una vulnerabilidad potencial. Los actores maliciosos, una vez dentro de la red, pueden usar estas sesiones en su beneficio. Por lo tanto, la detección oportuna y la gestión de sesiones son cruciales para la seguridad informática.
Recomendaciones
- Ejecuta siempre el script con privilegios administrativos para obtener resultados precisos.
- Actualiza y mantén regularmente el script para adaptarlo a los cambios en el entorno Windows.
- Integra el script con herramientas de supervisión para obtener alertas en tiempo real sobre sesiones inactivas prolongadas.
Reflexiones finales
En el contexto de la gestión de sesiones de usuario inactivas, herramientas como NinjaOne pueden amplificar aún más la eficacia al proporcionar una plataforma unificada para supervisar, alertar y gestionar. Tanto si se trata de optimizar recursos como de reforzar el perímetro de seguridad, comprender los comportamientos de los usuarios en los tiempos muertos puede ser determinante. El uso de scripts como el que hemos visto para detectar el tiempo de inactividad del usuario puede constituir la espina dorsal de este enfoque, especialmente si se combina con soluciones integrales de gestión de TI.