ReSQL.ru
     
powered by simpleCommunicator - 2.0.41     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
13 сообщений из 13, страница 1 из 1
Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
    #39942823
listtoview
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
listtoview
Участник
Т.е. кто, когда и на какой комп заходил под локальным админом

Где эта информация может храниться? и как ее опрашивать?
Я так понимаю в логах винды есть, но они могут быть очищены, да и удаленно их опрашивать по всем компам, а если комп выключен
...
Рейтинг: 0 / 0
01.04.2020, 13:30
| Ответить | Цитировать | Написать  
Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
    #39942824
Фотография Shocker.Pro
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Shocker.Pro
Участник
Как этот вопрос связан с ASP.NET?
...
Рейтинг: 0 / 0
01.04.2020, 13:32
| Ответить | Цитировать | Написать  
Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
    #39942829
fkthat
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
fkthat
Участник
Если лог почистилили, то там все равно всегда остается запись о том что его почистили. Т.ч. если видишь эту запись, то можешь сразу рапортовать "Товарисчь полковник начальник СБ, на этот компьютер заходил венесуельский шпиён" Какой смысл ловить куда и когда кто-то заходил админом, если судя по задаче это мог делать кто угодно?
...
Рейтинг: 0 / 0
01.04.2020, 13:44
| Ответить | Цитировать | Написать  
Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
    #39942831
carrotik
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
carrotik
Участник
listtoview,

для того, чтобы эта инфа вообще логировалась, должен буть включен аудит в политиках безопасности, что не факт ...
...
Рейтинг: 0 / 0
01.04.2020, 13:48
| Ответить | Цитировать | Написать  
Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
    #39942837
listtoview
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
listtoview
Участник
carrotik
listtoview,

для того, чтобы эта инфа вообще логировалась, должен буть включен аудит в политиках безопасности, что не факт ...

а где же взять эту инфу?

могу конечно службу написать, которая будет устанавливаться на все компы и шпиенить
...
Рейтинг: 0 / 0
01.04.2020, 13:57
| Ответить | Цитировать | Написать  
Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
    #39942843
listtoview
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
listtoview
Участник
у нас еще лапс планируется развернуть, может он пишет?
...
Рейтинг: 0 / 0
01.04.2020, 14:03
| Ответить | Цитировать | Написать  
Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
    #39942856
carrotik
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
carrotik
Участник
listtoview,

.. да обычного скрипта на логон достаточно, который запишет все в нужное место, чтобы не лопатить журналы винды ...
...
Рейтинг: 0 / 0
01.04.2020, 14:32
| Ответить | Цитировать | Написать  
Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
    #39942860
listtoview
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
listtoview
Участник
carrotik
listtoview,

.. да обычного скрипта на логон достаточно, который запишет все в нужное место, чтобы не лопатить журналы винды ...

а как его зарегить на логон? виндовый шедулер умеет?
...
Рейтинг: 0 / 0
01.04.2020, 14:38
| Ответить | Цитировать | Написать  
Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
    #39942868
carrotik
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
carrotik
Участник
listtoview
carrotik
listtoview,

.. да обычного скрипта на логон достаточно, который запишет все в нужное место, чтобы не лопатить журналы винды ...

а как его зарегить на логон? виндовый шедулер умеет?

.. и виндовый планировщик может, и в политиках безопасности есть такой пункт Logon Script .. на выбор ...
...
Рейтинг: 0 / 0
01.04.2020, 14:50
| Ответить | Цитировать | Написать  
Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
    #39942874
Roman Mejtes
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Roman Mejtes
Участник
через Logon скрипты идея дрянь, по личному опыту, будет масса проблем
как вариант можно использовать журнал Windows Secutiry

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
An account was successfully logged on.

Subject:
	Security ID:		SYSTEM
	Account Name:		<ComputerAccountName>
	Account Domain:		<DomainName>
	Logon ID:		0x3E7

Logon Information:
	Logon Type:		11
	Restricted Admin Mode:	-
	Virtual Account:		No
	Elevated Token:		Yes

Impersonation Level:		Impersonation

New Logon:
	Security ID:		<Domain>\<Username>
	Account Name:		<UserName>
	Account Domain:		<Domain>
	Logon ID:		<Removed>
	Linked Logon ID:		<Removed>
	Network Account Name:	-
	Network Account Domain:	-
	Logon GUID:		{00000000-0000-0000-0000-000000000000}

Process Information:
	Process ID:		0xb04
	Process Name:		C:\Windows\System32\svchost.exe

Network Information:
	Workstation Name:	<HOSTNAME>
	Source Network Address:	127.0.0.1
	Source Port:		0

Detailed Authentication Information:
	Logon Process:		User32 
	Authentication Package:	Negotiate
	Transited Services:	-
	Package Name (NTLM only):	-
	Key Length:		0

This event is generated when a logon session is created. It is generated on the computer that was accessed.

The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).

The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.

The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The impersonation level field indicates the extent to which a process in the logon session can impersonate.

The authentication information fields provide detailed information about this specific logon request.
	- Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.
	- Transited services indicate which intermediate services have participated in this logon request.
	- Package name indicates which sub-protocol was used among the NTLM protocols.
	- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
...
Рейтинг: 0 / 0
01.04.2020, 15:12
| Ответить | Цитировать | Написать  
Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
    #39942886
listtoview
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
listtoview
Участник
Roman Mejtes,

какие проблемы на логоне?
...
Рейтинг: 0 / 0
01.04.2020, 15:48
| Ответить | Цитировать | Написать  
Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
    #39948865
listtoview
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
listtoview
Участник
а на логон скрипте можно получить информацию о пользователе если он подключился по RDP?
...
Рейтинг: 0 / 0
20.04.2020, 10:07
| Ответить | Цитировать | Написать  
Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
    #39949372
listtoview
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
listtoview
Участник
Коллеги, спасибо за советы.
Есть одна проблема, не могу определить пользователя компьютера, который инициировал соединение
завел тему
https://www.sql.ru/forum/1324614-a/kak-uznat-informaciu-o-rdp-sesii
...
Рейтинг: 0 / 0
21.04.2020, 14:43
| Ответить | Цитировать | Написать  
13 сообщений из 13, страница 1 из 1
Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / Нужно сделать отчет для СБ сессий локальных администраторов компьюторов
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
NoSQL.ru             Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=18&msg=39942856&tid=1354731]:
 0ms
get settings:
 10ms
get forum list:
 15ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 33ms
get topic data:
 8ms
get forum data:
 2ms
get page messages:
 45ms
get tp. blocked users:
 1ms
others: 277ms
total:  399ms
созд. / загр.: 399ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]