使用 SIEM 系统,如何监控某人使用本地管理员帐户远程登录计算机的事件?
通过使用 RDP,您可以使用本地管理员帐户远程登录计算机,甚至无需进入域。如果本地管理员的密码在整个网络中相同,并且存储在其中一台计算机的 SAM(文件)中的哈希被泄露,则人们可以访问他想要的任何工作站,而无需进入域或被发现。
我如何检测本地管理员的远程登录?感谢您的帮助。
答案1
检查 Windows 事件日志中的安全日志。所有登录事件都在此处注册。使用查找(或过滤器)搜索指定的帐户事件。
监控本地管理员远程登录
使用 SIEM 系统,如何监控某人使用本地管理员帐户远程登录计算机的事件?
通过使用 RDP,您可以使用本地管理员帐户远程登录计算机,甚至无需进入域。如果本地管理员的密码在整个网络中相同,并且存储在其中一台计算机的 SAM(文件)中的哈希被泄露,则人们可以访问他想要的任何工作站,而无需进入域或被发现。
我如何检测本地管理员的远程登录?感谢您的帮助。
检查 Windows 事件日志中的安全日志。所有登录事件都在此处注册。使用查找(或过滤器)搜索指定的帐户事件。