Як адміністратор, я можу отримати доступ до інших комп'ютерів у тій самій локальній мережі, використовуючи драйвер $ like
\\anothercomputer\c$
і знайти те, що я хочу в їхньому комп’ютері. Моє запитання полягає в тому, чи зможуть вони дізнатись, що хтось підключився до свого ПК, у програмі перегляду подій або коли вони хочуть вимкнути комп'ютер чи….
Відповіді:
Ви можете отримати доступ до спільного доступу до віддаленого ПК (наприклад, через \\REMOTEPC\SHARENAME), лише якщо ви можете ввійти на віддалений ПК з обліковим записом, який має достатньо привілеїв. Отже, доступ до спільної доступу викликає вхід на віддалений ПК. Усі входи на ПК записуються в журнал подій безпеки (якщо такий журнал подій увімкнено).
Якщо події входу реєструються, ідентифікатор події 4624 буде записаний у Журнал подій безпеки (Windows Vista +). Це виглядає приблизно так:
Обліковий запис успішно увійшов.
Тема:
Ідентифікатор безпеки: NULL SID
Назва рахунку: -
Домен облікового запису: -
ID входу: 0x0
Тип входу: 3
Новий вхід:
Ідентифікатор безпеки: DOMAIN \ user
Ім'я облікового запису: користувач
Домен облікового запису: DOMAIN
ID входу: 0x3f33d66
Посібник для входу: {6dad1ee6-55ea-50af-7561-0289b6364aad}
Інформація про процес:
Ідентифікатор процесу: 0x0
Назва процесу: -
Інформація про мережу:
Назва робочої станції:
Адреса джерела мережі: 192.168.1.10
Порт джерела: 55372
Детальна інформація про автентифікацію:
Процес входу: Керберос
Пакет аутентифікації: Kerberos
Транзитні послуги: -
Назва пакету (лише для NTLM): -
Довжина ключа: 0
Додатковий текст події надає більше пояснень:
Ця подія генерується при створенні сеансу входу. Він генерується на комп'ютері, до якого звертався.
Тематичні поля вказують обліковий запис у локальній системі, яка запросила вхід. Це найчастіше така послуга, як сервер сервера або локальний процес, наприклад Winlogon.exe або Services.exe.
Поле типу входу вказує тип входу, який відбувся. Найпоширеніші типи - 2 (інтерактивний) та 3 (мережевий).
У полях New Logon вказується обліковий запис, для якого створено новий вхід, тобто обліковий запис, на якому було ввімкнено.
Поля мережі вказують, звідки походить запит на віддалений вхід. Ім’я робочої станції не завжди доступне і в деяких випадках може залишатися порожнім.
Інформаційні поля аутентифікації надають детальну інформацію про цей конкретний запит на вхід. - GUID входу в систему - це унікальний ідентифікатор, за допомогою якого можна співставити цю подію з подією KDC. - Транзитні служби вказують, які проміжні служби брали участь у цьому запиті на вхід. - Назва пакета вказує, який підпротокол був використаний серед протоколів NTLM. - Довжина ключа вказує довжину згенерованого ключа сеансу. Це буде 0, якщо не потрібен ключ сеансу.