Cómo obtener acceso de inicio de sesión de cliente a cliente en el servidor de dominio

0

Tengo 100 clientes que están unidos a un dominio. Uno de ellos está tratando de hacer un ataque de fuerza bruta a los otros clientes. ¿Cómo puedo obtener los registros de error de inicio de sesión en el servidor de dominio sobre los inicios de sesión de los atacantes?

Ya habilité todas las configuraciones de la directiva de auditoría que están relacionadas con los inicios de sesión y puedo ver todos los registros sobre el éxito / error de inicio de sesión en el servidor de dominio, pero en este escenario no puedo ver ningún registro de error de inicio de sesión de cliente a cliente.

    
pregunta ali tavakoli 08.05.2017 - 13:05
fuente

1 respuesta

-1

Tengo un script que puede ayudarte si estás en Windows Server:

function get-logonhistory{
Param (
 #get ip(127.0.0.1) and number of days you want get
 [string]$Computer = (Read-Host IP remoto do PC),
 [int]$Days = (Read-Host number of days)
 )
 cls
 $Result = @()
 Write-Host "wait..."
 $ELogs = Get-EventLog System -Source Microsoft-Windows-WinLogon -After (Get-Date).AddDays(-$Days) -ComputerName $Computer
 If ($ELogs)
 { Write-Host "processing..."
 ForEach ($Log in $ELogs)
 { If ($Log.InstanceId -eq 7001)
   { $ET = "Logon"
   }
   ElseIf ($Log.InstanceId -eq 7002)
   { $ET = "Logoff"
   }
   Else
   { Continue
   }
   $Result += New-Object PSObject -Property @{
    Time = $Log.TimeWritten
    'Event Type' = $ET
    User = (New-Object System.Security.Principal.SecurityIdentifier $Log.ReplacementStrings[1]).Translate([System.Security.Principal.NTAccount])
   }
 }
 $Result | Select Time,"Event Type",User | Sort Time -Descending | Out-GridView
 Write-Host "Done."
 }
 Else
 { Write-Host "Problem with ip $Computer."
 }
 }
#function call
get-logonhistory

Write-Host "Press any key ..."
#stop script to window dont close 
$x = $host.UI.RawUI.ReadKey("NoEcho,IncludeKeyDown")
    
respondido por el R.O.O.T 08.05.2017 - 13:39
fuente

Lea otras preguntas en las etiquetas