Windows7: существует ли журнал учетных записей или IP-адресов, показывающий подключения к компьютеру c:\ через подключение к локальной сети в формате \\ имя_компьютера \ C $?
1 ответ
2
Есть ли журнал учетных записей, показывающих подключения к моему компьютеру?
Событие « 4624: Учетная запись успешно вошла » добавляется в журнал системных событий.
Тип входа будет 3 - Сеть (т.е. подключение к общей папке на этом компьютере из другого места в сети).
Исходным сетевым адресом будет IP-адрес компьютера, на котором в большинстве случаев физически присутствует пользователь.
4624: учетная запись была успешно залогинена
Идентифицирует учетную запись, которая запросила вход в систему - НЕ пользователь, который только что вошел в систему. Субъектом обычно является Null или один из участников Сервиса, а не полезная информация. См. Новый вход в систему (позже в этом ответе) для тех, кто только что вошел в систему.
- ID безопасности
- Имя пользователя
- Домен аккаунта
- Логин
Информация для входа в систему:
- Тип входа: см. Ниже
Остальные поля информации для входа в систему являются новыми для Windows 10/2016
- Режим ограниченного администрирования: обычно "-". "Да" для входящих подключений к удаленному рабочему столу, где клиент указал / disabledAdmin
- Виртуальная учетная запись: обычно "Нет". Это будет Да в случае служб, настроенных для входа в систему с "Виртуальной учетной записью".
- Повышенный маркер: Это как-то связано с контролем учетных записей, но наши исследования пока не дали последовательных результатов.
Тип входа:
Это ценная информация, поскольку она говорит вам, КАК пользователь только что вошел в систему:
Новый вход в систему:
Пользователь, который только что вошел в систему, идентифицируется по имени учетной записи и домену учетной записи. Вы можете определить, является ли учетная запись локальной или доменной, сравнив домен учетной записи с именем компьютера. Если они совпадают, учетная запись является локальной учетной записью в этой системе, в противном случае это учетная запись домена.
- Идентификатор безопасности: SID учетной записи
- Имя учетной записи: имя входа учетной записи
- Учетная запись домена: доменное имя учетной записи (доменное имя до Win2k)
- Идентификатор входа: полууникальный (уникальный между перезагрузками) номер, который идентифицирует только что начатый сеанс входа. Любые события, записанные впоследствии во время этого сеанса входа, будут сообщать тот же идентификатор входа в систему до события выхода из системы 4647 или 4634.
- GUID входа в систему: предположительно, вы должны быть в состоянии сопоставить события входа в систему на этом компьютере с соответствующими событиями аутентификации на контроллере домена с использованием этого GUID. Например, связывание 4624 на компьютере-члене с 4769 на DC. Но GUID не совпадают между событиями входа в систему на компьютерах-членах и событиями аутентификации на контроллере домена.
Обрабатывать информацию:
- Идентификатор процесса - это идентификатор процесса, указанный при запуске исполняемого файла, зарегистрированного в 4688.
- Имя процесса: определяет исполняемый файл программы, который обработал вход в систему. Это один из доверенных процессов входа в систему, идентифицированных 4611.
Информация о сети:
Этот раздел определяет, ГДЕ был пользователь, когда он вошел в систему. Конечно, если вход в систему инициирован с того же компьютера, эта информация будет либо пустой, либо будет отражать те же локальные компьютеры.
- Имя рабочей станции: имя компьютера, на котором пользователь физически присутствует в большинстве случаев, если только этот вход не был инициирован серверным приложением, действующим от имени пользователя. Рабочая станция также может не заполняться для некоторых входов в Kerberos, так как протокол Kerberos на самом деле не заботится об учетной записи компьютера в случае входа в систему пользователя и поэтому не имеет какого-либо поля для переноса имени рабочей станции в сообщении запроса билета.
- Исходный сетевой адрес: IP-адрес компьютера, на котором пользователь физически присутствует в большинстве случаев, если только этот вход не был инициирован серверным приложением, действующим от имени пользователя. Если этот вход в систему инициирован локально, IP-адрес иногда будет 127.0.0.1 вместо фактического IP-адреса локального компьютера. Это поле также иногда пустое, потому что Microsoft говорит: «Не каждый путь кода в Windows Server 2003 содержит IP-адрес, поэтому он не всегда заполнен».
- Source Port: определяет исходный TCP-порт запроса входа в систему, который кажется бесполезным, поскольку в большинстве протоколов исходные порты являются случайными.
Источник 4624: учетная запись была успешно залогинена