作为管理员,我可以使用 driver$ 访问同一 LAN 上的其他计算机,例如
\\anothercomputer\c$
并在他们的计算机中找到我想要的东西。我的问题是他们是否可以在事件查看器中或当他们想要关闭计算机时发现有人连接到他们的 PC 或......
答案1
是(如果记录了登录事件)
只有当您能够使用具有足够权限的帐户登录远程 PC 时,您才能访问远程 PC 上的共享(例如通过\\REMOTEPC\SHARENAME
)。因此,访问共享会触发登录远程 PC。所有登录 PC 的操作都会记录在安全事件日志中(假设已启用此类事件日志)。
如果记录了登录事件,则事件 ID4624将被记录在安全事件日志中(Windows Vista+)。它看起来像这样:
帐户已成功登录。 主题: 安全 ID:NULL SID 帐户名称: - 帐户域:- 登录 ID:0x0 登录类型:3 新登录: 安全 ID:DOMAIN\user 帐户名称:用户 帐户域:DOMAIN 登录 ID:0x3f33d66 登录 GUID: {6dad1ee6-55ea-50af-7561-0289b6364aad} 处理信息: 进程 ID:0x0 进程名称:- 网络信息: 工作站名称: 源网络地址:192.168.1.10 源端口:55372 详细认证信息: 登录过程:Kerberos 身份验证包:Kerberos 过境服务:- 软件包名称(仅限 NTLM):- 密钥长度:0
事件中的附加文字提供了更多解释:
创建登录会话时会生成此事件。它会在被访问的计算机上生成。
主题字段指示本地系统上请求登录的帐户。这通常是诸如服务器服务之类的服务,或诸如 Winlogon.exe 或 Services.exe 之类的本地进程。
登录类型字段表示发生的登录类型。最常见的类型是 2(交互式)和 3(网络)。
新登录字段指示为其创建新登录的帐户,即可登录的帐户。
网络字段指示远程登录请求的来源。工作站名称并非始终可用,在某些情况下可能会留空。
身份验证信息字段提供有关此特定登录请求的详细信息。- 登录 GUID 是一个唯一标识符,可用于将此事件与 KDC 事件关联起来。- 传输服务指示哪些中间服务参与了此登录请求。- 包名称指示在 NTLM 协议中使用了哪个子协议。- 密钥长度指示生成的会话密钥的长度。如果没有请求会话密钥,则为 0。