pipe理员(域和本地)在远程连接到join域的工作站时将留下什么痕迹?
域控制器:Windows Server 2008 Standard
工作站:Windows XP,Windows 7
服务器事件日志中或工作站事件日志中是否有任何跟踪?
编辑:
例如,具有来自Workstation1域pipe理权限的用户连接到Workstation2 (隐藏的pipe理员共享c$ )。 在Workstation1 , Workstation2或Active Directory Server1是否会logging任何事件?
你的陈述“连接到”有点含糊。 我怀疑你是在谈论一个pipe理员使用内置或第三方pipe理工具,而不是简单的TCP连接到客户端。
除非做了什么,否则不会有太多的事情发生。 简单的TCP / IP访问默认情况下不会被logging。 您要查找的主要内容是更改文件系统和事件日志中的logging。
你要find的大部分“痕迹”都在安全事件日志中。 在现有的Windows XP计算机中,logging的内容不会太多,因为默认情况下,在任何版本的Windows XP中都不启用审计。 在Windows Server 2008和Windows 7计算机上,缺省值已扩展(虽然目前我没有参考),但我相信在缺省情况下,您将看到一些成功的访问尝试以及失败。
另外,“审计策略”就是您要configuration计算机在未来审计这类事情的目标。
如果有交互式login,那么在任何这些Windows版本的“应用程序事件”日志中都会出现大量事件。
根据您在域控制器上启用的审核级别,您可能会在这些计算机的“安全事件日志”中看到向客户端计算机显示login事件的事件。 每当使用域帐户访问在客户端上使用域身份validation的服务(通过RPC的内置远程pipe理工具,连接文件共享,交互式login)时,都会生成login事件。
如果“pipe理员”使用第三方工具(“LogMeIn”,“VNC”等),则可能会在应用程序事件日志中logging日志。
如果NTFS文件系统configuration了默认设置,那么上次访问文件的时间将会“碰撞”,但是如果你试图在没有采取预防措施的情况下进行操作,你可能会丢掉任何证据。 显然,如果修改或创build了任何文件,并且没有采取步骤来覆盖轨道,那么创build和修改时间也会发生变化。
在你的问题中描述的场景中,根据所使用的操作系统版本,您可能会在Workstation2计算机和Active directory Server1上的安全事件日志中看到事件,显示与文件系统访问关联的networkinglogin事件。 如果Workstation2是具有库存设置的Windows XP计算机,那么您将看不到任何内容。
这有点太开放了,但是会连接到工作站/服务器上logging事件。