Как администратор, я могу получить доступ к другим компьютерам в той же локальной сети с помощью драйвера $ like
\\anothercomputer\c$
и найти то, что я хочу в их компьютере. У меня вопрос: могут ли они узнать, что кто-то подключился к их ПК, в программе просмотра событий, или когда они хотят выключить компьютер или ...
Вы можете получить доступ к общему ресурсу на удаленном ПК (например, через \\REMOTEPC\SHARENAME), если вы можете войти на удаленный ПК с учетной записью с достаточными правами для этого. Поэтому при доступе к общему ресурсу запускается вход на удаленный ПК. Все входы на ПК регистрируются в журнале событий безопасности (при условии, что такая регистрация событий включена).
Если события входа в систему регистрируются, в журнале событий безопасности (Windows Vista+) регистрируется событие с кодом 4624 . Это выглядит так:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: DOMAIN\user
Account Name: user
Account Domain: DOMAIN
Logon ID: 0x3f33d66
Logon GUID: {6dad1ee6-55ea-50af-7561-0289b6364aad}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: 192.168.1.10
Source Port: 55372
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Дополнительный текст в событии дает больше объяснений:
Это событие генерируется при создании сеанса входа. Он генерируется на компьютере, к которому был получен доступ.
Поля темы указывают учетную запись в локальной системе, которая запросила вход в систему. Обычно это служба, такая как служба сервера, или локальный процесс, такой как Winlogon.exe или Services.exe.
Поле типа входа указывает тип входа в систему. Наиболее распространенными типами являются 2 (интерактивный) и 3 (сетевой).
В полях «Новый вход в систему» указывается учетная запись, для которой был создан новый вход в систему, т. Е. Учетная запись, вошедшая в систему.
Поля сети указывают, откуда возник запрос на удаленный вход. Имя рабочей станции не всегда доступно и может быть оставлено пустым в некоторых случаях.
Поля информации аутентификации предоставляют подробную информацию об этом конкретном запросе на вход. - GUID входа в систему - это уникальный идентификатор, который можно использовать для сопоставления этого события с событием KDC. - Транзитные сервисы указывают, какие промежуточные сервисы участвовали в этом запросе на вход. - Имя пакета указывает, какой суб-протокол использовался среди протоколов NTLM. - Длина ключа указывает длину сгенерированного сеансового ключа. Это будет 0, если сессионный ключ не был запрошен.