當管理員(域和本地)遠端連接到加入域的工作站時,他們留下了哪些痕跡?
當管理員(域和本地)遠端連接到加入域的工作站時,他們會留下什麼痕跡?
域控制器:Windows Server 2008 標準
工作站:Windows XP、Windows 7
伺服器事件日誌或工作站事件日誌中是否有任何跟踪?
編輯:
例如,具有域管理員權限的使用者
Workstation1
連接到Workstation2
(到隱藏的管理員共享c$
)。是否會記錄任何Workstation1
事件?Workstation2``Active Directory Server1
您的“連接到”陳述有點含糊。我懷疑您說的是使用內置或第三方管理工具的管理員,而不是與客戶端的簡單 TCP 連接。
除非做某事,否則不會有很多。預設情況下不記錄簡單 TCP/IP 訪問。您要查找的主要內容是文件系統的更改和事件日誌中的記錄。
您將要找到的大部分“痕跡”都在安全事件日誌中。在一台普通的 Windows XP 機器中,不會記錄太多任何內容,因為預設情況下,在任何版本的 Windows XP 中都沒有啟用審核。在 Windows Server 2008 和 Windows 7 機器上,預設值已擴展(儘管我目前手頭沒有參考資料),我相信您會看到一些成功的訪問嘗試,以及預設情況下的失敗。
順便說一句,“審核策略”是您正在尋找的配置電腦以在未來審核此類事情的內容。
如果有互動式登錄,那麼您將在任何這些版本的 Windows 中的應用程序事件日誌中看到大量事件。
根據您在域控制器上啟用的審核級別,您可能會在這些電腦上的安全事件日誌中看到顯示客戶端電腦登錄事件的事件。只要域帳戶用於訪問在客戶端上使用域身份驗證的服務(通過 RPC 的內置遠端管理工具、連接文件共享、互動式登錄),就會生成登錄事件。
如果“管理員”使用第三方工具(“LogMeIn”、“VNC”等),那麼應用程序事件日誌中可能會有日誌。
如果 NTFS 文件系統配置為預設設置,則文件的最後訪問時間將被“顛倒”,但如果您在沒有採取預防措施的情況下笨拙地嘗試查看該文件,您可能會丟棄任何證據。顯然,如果任何文件被修改或創建並且沒有採取步驟來覆蓋軌道,那麼創建和修改時間也會發生變化。
在您在問題中描述的場景中,根據正在執行的作業系統版本,您可能會在兩台
Workstation2
電腦上的安全事件日誌中看到事件,並Active directory Server1
顯示與文件系統訪問相關的網路登錄事件。如果Workstation2
是具有庫存設置的 Windows XP 機器,那麼您將在那裡什麼也看不到。