В конце всего месяца наш ИТ-отдел отправляет нам список всех доменов, которые мы посетили через наш браузер.

В моем случае у меня есть два домена: SoftServices\JohnH и SoftServices\JohnBrowser .

Допустим, я захожу на свой компьютер с помощью SoftServices\JohnH . Затем я открываю браузер FireFox с опцией « Run as different user , вводю учетные данные SoftServices\JohnBrowser и захожу на stackoverflow.com .

Будет ли эта ссылка отображаться в разделе SoftServices\JohnH или SoftServices\JohnBrowser?

1 ответ1

5

Невозможно ответить - это полностью зависит от того, как ваша ИТ-команда получает эти домены. Не существует стандартного метода для отслеживания пользователей домена. (Кроме того, корпоративные ИТ не по теме.) Несколько возможностей:

  • Корпоративный прокси-сервер с аутентификацией, настроенный в настройках "Прокси" вашего браузера: если он использует NTLM или Kerberos для "прозрачной" аутентификации, то он увидит имя пользователя, на котором запущен процесс браузера. Поэтому, если вы запускаете браузер через RunAs как "JohnBrowser", он также будет аутентифицироваться на прокси-сервере как "JohnBrowser".

  • Очистка истории вашего веб-браузера от \Users\*\AppData: будет связана с той же учетной записью, на которой выполняется процесс браузера. Так что, если профиль браузера хранится в папке \Users\JohnBrowser\AppData , то ИТ- отдел , вероятно, также отобразит его в разделе "JohnBrowser".

  • Расширение веб-браузера, которое отправляет журналы в другое место: Зависит. Он может записать имя пользователя, на котором запущен процесс браузера, или имя пользователя, которому принадлежит весь сеанс рабочего стола (станция служб терминалов), или даже оба.

  • Автономная программа для Windows, которая отслеживает адресную строку веб-браузера. Скорее всего, все будет ассоциироваться с первоначальным пользователем, которому принадлежит весь рабочий стол.

  • Монитор сетевого трафика на базе ОС на вашем компьютере (антивирус, родительский контроль и т.д.): Может быть и другое - зависит от продукта, но я думаю, что первоначальный пользователь (владелец рабочего стола) более вероятен.

  • Журналы DNS-сервера или центрального брандмауэра DPI: Нет прямой связи с именем пользователя, только с компьютером. Вероятно, полагайтесь на корреляцию с журналами контроллера домена, например, «сегодня мы видели, как кто-то вошел в систему от имени JohnH на тот же компьютер». В этом случае это может быть либо, потому что это также зависит от того, какие конкретные журналы используются - все аутентификации или только первая за день (и может ли контроллер домена различать два типа входа).

Наконец, средство обработки журналов может просто автоматически заменять известные вторичные учетные записи их основным владельцем, поэтому даже если URL-адрес зарегистрирован в "JohnBrowser", он все равно может отображаться как "JohnH" в окончательном списке. (То есть, если ИТ-команда не знает, что у вас есть две учетные записи, что является совершенно новой проблемой.)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .