在我的公司,我们有一台服务器需要运行多个任务,并且需要用户登录(尽管我要求更改这些程序)。更复杂的是,多个用户可以访问此帐户。因此,有时,有人会想出注销帐户会话的好主意。
现在我需要知道是谁做的。在事件查看器中,我只能看到哪个帐户在何时注销,但我需要通过了解哪个计算机名称或 IP 在服务器上建立连接来找出哪个用户做了这件事。
有没有办法获取这些信息?如果有,在哪里获取?
提前致谢。
问候,佩德罗
答案1
多个用户可以访问此帐户
有时,有人会想出一个好主意,退出帐户会话。
您有以下几种选择:
- 你只需问有权访问注销会话的帐户的用户。他们可能会像孩子一样撒谎,但这是直截了当的。
- 如果您愿意,您可以通过该服务器上的 GPO 阻止注销(配置 \ 管理模板 \ 开始菜单和任务栏 \ 删除开始菜单上的注销)。
老实说,这本来就不是一个理想的安全设置,所以现在你所做的任何事情都只是相关人员之间的内部沟通或上面的#2。
答案2
不是。您可以尝试从事件日志中的登录事件来跟踪机器 - 但那会很耗时,而且正如您所说 - 它已经毫无用处了,因为它不够细致。
最后,如果您付出了巨大的努力来制定从安全角度来看不合理的程序,那么您可以预料到会成功,并面临严重的安全和审计问题。这就是发生的事情。告知当权者,基本上,如果您坚持不跟踪此事,请不要回来询问为什么不跟踪或要求跟踪。
答案3
取决于您的日志记录级别,听起来,您的日志记录级别可能不够。我们审核登录事件(登录事件的粒度级日志记录),因此我可以在我的服务器的安全事件日志中看到类似下面的事件。
因此,根据审计日志记录的登录时间、帐户名称和 IP,我可以根据时间跟踪登录,并确定哪个用户从哪里登录。(在本例中,是我,从我的工作站登录。)我会将注销时间与这些Audit Success事件关联起来,找出“谁做的”。
如果你没有这种级别的日志记录,可能是时候考虑启用它了,因为按照你的设置方式,还会有下一次……
这说明这种设置并不理想。如果您需要一个帐户来保持登录状态,则需要通过配置和策略确保这一点。您不清楚发生了什么/注销是如何发生的,所以我不会推测如何最好地防止将来发生这种情况,但这些问题有简单的技术或政策解决方案,听起来是时候实施一个了。