Obtención de un registro de las computadoras que han accedido de forma remota a un servidor Windows

1

Tengo sospechas de que alguien que no sea gente de mi equipo ha obtenido las credenciales para acceder de forma remota a un servidor de Windows 2008. Necesito obtener alguna evidencia antes de comenzar a señalar con el dedo o de que todos estén alertas de que alguien podría estar pirateando nuestros servidores.

¿Puedo obtener un registro de todas las computadoras que han accedido de forma remota a mi servidor (por acceso remoto me refiero a usar las funciones de escritorio remoto del servidor de Windows)? Idealmente, debería haber alguna información sobre cada computadora, al menos su dirección IP pública.

Cualquier ayuda sería apreciada.

    
pregunta l3utterfly 19.08.2014 - 03:55
fuente

1 respuesta

2

Una vez que alguien tiene acceso a su servidor, ya no es su servidor. Lo que significa que los registros podrían ser manipulados, así como los binarios.

Hay un registro de seguridad en Windows que le permite (si está configurado correctamente):

  • Eventos de inicio de sesión de la cuenta
  • Gestión de cuentas
  • Acceso al servicio de directorio
  • eventos de inicio de sesión
  • acceso a objetos
  • Cambio de política
  • Uso de privilegios
  • Seguimiento del proceso
  • eventos del sistema

Aquí solo hay una trampa. Cualquier administrador podrá (como se mencionó anteriormente) manipular los registros. Si no está seguro, es mejor colocar un rastreador entre su servidor y la red. De esa manera, puede monitorear todas las conexiones entrantes y salientes y determinar si las IP que acceden a la máquina son legítimas.

    
respondido por el Lucas Kauffman 19.08.2014 - 09:16
fuente

Lea otras preguntas en las etiquetas