当管理员(域和本地)远程连接到加入域的工作站时,会留下什么痕迹?
域控制器:Windows Server 2008 Standard
工作站:Windows XP、Windows 7
服务器事件日志或工作站事件日志中是否会留下任何痕迹?
编辑:
例如,具有域管理员权限的用户从Workstation1
连接到Workstation2
(到隐藏的管理员共享c$
)。 是否会在 或 上记录Workstation1
任何Workstation2
事件Active Directory Server1
?
答案1
您的“连接到”这一表述有点模糊。我怀疑您说的是管理员使用内置或第三方管理工具,而不是简单的与客户端的 TCP 连接。
除非采取了某些措施,否则不会有太多记录。默认情况下,简单的 TCP/IP 访问不会被记录。您要查找的主要内容是文件系统的更改和事件日志中的记录。
您将找到的大多数“痕迹”都位于安全事件日志中。在普通的 Windows XP 机器中,不会记录太多内容,因为默认情况下,任何版本的 Windows XP 都没有启用审核。在 Windows Server 2008 和 Windows 7 机器上,默认设置已扩展(尽管我目前手头没有参考资料),我相信默认情况下您会看到一些成功的访问尝试,以及失败的访问尝试。
顺便说一句,“审计策略”就是您用来配置计算机以便将来审计此类事情的策略。
如果存在交互式登录,那么在任何 Windows 版本中,应用程序事件日志中都会出现大量事件。
根据您在域控制器上启用的审核级别,您可能会在这些机器的安全事件日志中看到事件,其中显示了客户端计算机的登录事件。每当使用域帐户访问在客户端上使用域身份验证的服务(通过 RPC 的内置远程管理工具、连接文件共享、交互式登录)时,都会生成登录事件。
如果“管理员”使用第三方工具(“LogMeIn”、“VNC”等),那么应用程序事件日志中可能会有日志。
如果 NTFS 文件系统采用默认设置,文件的最后访问时间将被“增加”,但如果您笨手笨脚地试图查看它而不采取预防措施,您可能会破坏任何证据。显然,如果任何文件被修改或创建,并且没有采取措施掩盖踪迹,那么创建和修改时间也会发生变化。
在您问题中描述的场景中,根据操作系统版本,您可能会在计算机的安全事件日志中看到事件,Workstation2
并Active directory Server1
显示与文件系统访问相关的网络登录事件。如果Workstation2
是使用常规设置的 Windows XP 计算机,那么您将看不到任何内容。
答案2
这有点太开放了,但确实会在所连接的工作站/服务器上记录事件。