Ottenere un registro dei computer che hanno accesso da remoto a un server Windows

1

Ho il sospetto che una persona diversa dalle persone nel mio team abbia ottenuto le credenziali per accedere da remoto a un server Windows 2008. Devo ottenere delle prove prima di iniziare a puntare le dita o far avvertire tutti che qualcuno potrebbe hackerare i nostri server.

È possibile ottenere un registro di tutti i computer che hanno accesso remoto al mio server (tramite accesso remoto, ovvero utilizzando le funzionalità del desktop remoto del server Windows). Idealmente dovrebbero esserci alcune informazioni su ciascun computer, almeno il loro indirizzo IP pubblico.

Qualsiasi aiuto sarebbe apprezzato.

    
posta l3utterfly 19.08.2014 - 03:55
fonte

1 risposta

2

Una volta che qualcuno ha accesso al tuo server, non è più il tuo server. Ciò significa che i log possono essere manomessi e binari.

C'è un registro di sicurezza in Windows che consente (se configurato correttamente) a:

  • Eventi di accesso all'account
  • Gestione dell'account
  • Accesso al servizio di directory
  • Eventi di accesso
  • Accesso all'oggetto
  • Modifica delle norme
  • Uso dei privilegi
  • Tracciamento processo
  • Eventi di sistema

C'è solo una presa qui. Qualsiasi amministratore sarà in grado (come detto prima) di manomettere i registri. Se non sei sicuro, è meglio posizionare uno sniffer tra il tuo server e la rete. In questo modo puoi monitorare tutte le connessioni in entrata e in uscita e determinare se gli IP che accedono alla macchina sono effettivamente legittimi.

    
risposta data 19.08.2014 - 09:16
fonte

Leggi altre domande sui tag