Su un computer Windows Server 2003 sembra che qualcuno abbia effettuato l'accesso tramite RDP senza utilizzare le credenziali: esiste un accesso registrato, ma non esistono né userid né password.
Mi chiedo come sia possibile, e non riesco a capire uno scenario valido, quindi ti sto chiedendo qui.
Questo è stato fatto da un utente malintenzionato che ha quindi creato un account amministratore e ha effettuato nuovamente l'accesso tramite il suo nuovo account creato personalmente.
EDIT: ok, ora ho i log: nei registri eventi di Windows ci sono alcune azioni eseguite da un utente che usa un SID al posto di un nome utente. Quelle azioni portano ad un login di successo come sadmin, l'account Administrator rinominato, e questa è la violazione.
Quindi non ha creato un nuovo account ma ne ha sfruttato uno.