En una máquina con Windows Server 2003 parece que alguien ha iniciado sesión a través de RDP sin usar credenciales: hay un acceso registrado, pero no hay nombre de usuario ni contraseña.
Me pregunto cómo es esto posible, y no puedo encontrar un escenario válido, así que pregunto aquí.
Esto fue hecho por un atacante que luego creó una cuenta de administrador y volvió a iniciar sesión a través de su nueva cuenta creada por él mismo.
EDIT: ok, ahora tengo los registros: en los registros de eventos de Windows hay acciones que realiza un usuario que usa un SID en lugar de un nombre de usuario. Esas acciones conducen a un inicio de sesión exitoso como sadmin, la cuenta de administrador renombrada, y esa es la violación.
Así que no creó una nueva cuenta, pero explotó la de administrador.