检测Windows域控制器中的用户登录

7

我正在尝试在Windows DC(Win Server 2012)中检测用户登录事件,但我遇到以下问题:

  • 事件 4624 不太确定,因为它可能会自动生成。例如当 组策略会自动刷新

  • 本地计算机可能已缓存用户的凭据,因此DC未检测到用户登录。

我的主要目标是检测用户何时从工作时间以外访问他的计算机,即用户在22点到7点之间有活动。此外,我唯一的数据源是域控制器中生成的.evtx文件。

windows  login  logging  windows-server-2012  event-log 
DiegoS
source
4
可能需要考虑的事情是让用户帐户使用登录脚本并添加一些逻辑,以便将某些内容放入隐藏共享或其他内容的日志文件中。另一件需要考虑的事情是,在特定时间禁止登录AD用户和计算机中的特定帐户,如果他们不应该在您实际执行策略期间登录,以防止完全而不必挖掘日志,查找在事实之后,谁做了这个,报告或与他们谈论它等等。关于这个主题只是几个快速的想法。
Pimp Juice IT
1
你有不止一个DC吗?如果是这样,您必须监视所有登录事件,除非您可以保证将使用哪个DC来验证用户。
Twisty Impersonator
如果你的 只要 数据源是来自DC的事件日志数据,然后是您 不要 可以访问足够的信息来捕获 所有 相关的登录事件。您确定不能在查询中包含用户工作站捕获的事件吗?
Twisty Impersonator
有许多工作站,我可能会认为在使用日志中心的解决方案中,是否可以使用第三方工具?
DiegoS
迭戈 - 你说 “我的主要目标是检测用户何时在工作时间以外访问他的计算机” 所以我很好奇你将收集到的这些非工作时间内有登录的数据会怎么做?此外,您可以设置一个登录脚本,如果它找不到它记录到本地日志文件的DC或隐藏共享,则运行该脚本。然后在那里有逻辑,也说明隐藏的共享是否可用,将最新的本地登录文件复制到同一个共享,但可能是一个单独的子文件夹,并且日志名称为 %computername%.log 也许。这会显示缓存的登录信息。
Pimp Juice IT

Answers:

2

如您所述,DC不会捕获具有缓存凭据的远程计算机上的登录,因为计算机可能并不总是物理连接到域。相反,你必须在他的电脑在线时直接检查他的电脑。

您可以在命令中使用事件查看器或wevtutil命令   提示管理远程计算机上的事件日志。

  1. 启动事件查看器。
  2. 例如,单击根节点 事件查看器(本地) ,在控制台树中。
  3. 行动 菜单,单击 连接到另一台计算机
  4. 在里面 另一个电脑盒 ,键入远程计算机的名称或IP地址。
  5. (可选)选择 以其他用户身份连接 ,点击 设置用户 , 输入 用户名 密码 ,然后单击
  6. 点击

资源: 使用远程计算机上的事件日志 - Microsoft TechNet

搜索 事件4648 - 使用显式凭据尝试登录 在他的电脑上。

正如描述所述,只有当登录使用显式凭据时才会这样。即使使用保存的凭据(即:远程桌面),也会在登录或解锁时生成此事件。

注意:与任何事件一样,您可以执行其他过滤以删除任何自动生成的事件(4648和用户名不常见)。 GUI(在“过滤器”选项卡上)提供对某些字段的过滤。使用XML选项卡,您可以筛选事件中的任何字段。

Steven
source
4648没有从域中的工作站获取登录,它只是获取服务器(DC)中明确的登录。
DiegoS
您可能需要检查他的计算机上的日志。见编辑的答案。
Steven
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.