我这里有个情况。我有一个入侵检测系统,它不断提醒我远程主机正在远程访问我们的 AD 注册表。
我们的远程主机主要是 Windows XP,而我们的 AD 是 W2K8。远程主机通过 SMB 端口 445 访问它们
Windows 主机访问 AD 的远程注册表是否正常?我的同事向我确认,在启用了端点保护的情况下,主机和 AD 都没有病毒。
谢谢。
答案1
您能找到有问题的主机吗?不,我认为远程客户端计算机没有理由访问域控制器注册表。要做到这一点,远程连接必须通过域管理员权限进行身份验证。
答案2
基于这个思科文档,在正常使用情况下,客户端访问远程注册表并不罕见。但是,它没有列出具体情况。
远程注册可能是由以下某些原因造成的(这些只是我脑海中想到的 - 并不是一份详尽的清单)
- 查看 SMB 共享上显示的计划任务列表
- 远程使用注册表编辑器
- 使用性能监视器访问远程计算机的性能计数器
- 使用事件日志访问远程计算机的日志条目
- 一些 COM+/DCOM 应用程序
- 软件资产管理计划
- 查看远程计算机上未共享的已安装打印机列表(不确定这个)