Connexion Bureau à Distance

Le
Vick
Bonjour à tous,

Dans un réseau entreprise, une personne a fait une prise en main via le
Bureau à Distance sur une machine avec le compte admin.
Est-il possible de tracer, via un historique ou une log, quelle machine ou
IP s'est connectée de la sorte ?
Merci d'avance
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nina Popravka
Le #1283672
On Fri, 16 Mar 2007 03:29:08 -0700, Vick

Dans un réseau entreprise, une personne a fait une prise en main via le
Bureau à Distance sur une machine avec le compte admin.
Dont il avait donc le pass :-)


Est-il possible de tracer, via un historique ou une log, quelle machine ou
IP s'est connectée de la sorte ?
Si vos audits de sécurité n'étaient pas activés auparavant, non.

--
Nina

Vick
Le #1283671
l'audit de sécurité n'apporte rien en fait après vérification
l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à
partir de quelle machine en fait


On Fri, 16 Mar 2007 03:29:08 -0700, Vick

Dans un réseau entreprise, une personne a fait une prise en main via le
Bureau à Distance sur une machine avec le compte admin.
Dont il avait donc le pass :-)


Est-il possible de tracer, via un historique ou une log, quelle machine ou
IP s'est connectée de la sorte ?
Si vos audits de sécurité n'étaient pas activés auparavant, non.

--
Nina




Nina Popravka
Le #1283669
On Fri, 16 Mar 2007 03:59:00 -0700, Vick

l'audit de sécurité n'apporte rien en fait après vérification
RDC = ouverture de session de type 10.


l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à
partir de quelle machine en fait
Le seul outil à faire ça à ma connaissance c 'est ça :

http://support.microsoft.com/?scid=kb%3Ben-us%3B837243&x&y
port 3389.
--
Nina

Jean-Claude BELLAMY
Le #1283664
"Vick" news:
l'audit de sécurité n'apporte rien en fait après vérification
Bien sûr que si !!!


l'idée est de pouvoir tracer qui s'est connecté sur une machine distante,
à
partir de quelle machine en fait


Tu NE SAIS PAS LIRE les journaux, c'est tout !!!

Je viens de faire la manip à l"instant, en ouvrant une connexion Bureau à
distance depuis la machine "Poudenas" vers la machine "Korogho", et voici ce
que je lis dans le journal de sécurité de Korgoho (ID 540) :

Ouverture de session réseau réussie :
Utilisateur : BELLAMY
Domaine : KOROGHO
Id. de la session : (0x0,0x11848E)
Type de session : 3
Processus de session : NtLmSsp
Package d'authentification : NTLM
Nom de la station de travail : POUDENAS

Je sais donc qui s'est connecté à distance, à quelle date et heure et depuis
quelle machine.


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Nina Popravka
Le #1283645
On Fri, 16 Mar 2007 12:42:13 +0100, "Jean-Claude BELLAMY"

Type de session : 3


Non.
Session type 2 = interactive
Session type 3 = network
Session type 10 = remote
C'est parce que tu es en network qu'il te donne la station d'origine.

Et par défaut, je suis à peu près sûre que les logs de sécurité ne
sont pas activés à ce niveau.
--
Nina

Vick
Le #1283627
Jean-Claude, je ne mets pas du tout en doute ce que tu as écrit, mais après
mes tests, il apparait que les logs du journal de sécurité dans l'Event
Viewer ne tiennent pas compte à priori de ce type de connexion, car je viens
de refaire le test d'une prise en main à distance, et rien ne s'écrit dans le
journal .... :s
il est possible que je ne sache pas lire les journaux, mais si rien de
s'inscrit ....
je regarde peut-etre pas au bon endroit non plus, qu'en penses-tu ?
et attention, dans mon cas bien précis, la session ouverte sur la machine
distante est en admin, et l'on prend la main également en admin, donc, il y a
une continuité sur la session, et non une fermeture de celle-ci .....
cela implique peut-etre une différence pour Windows ....


"Vick" news:
l'audit de sécurité n'apporte rien en fait après vérification
Bien sûr que si !!!


l'idée est de pouvoir tracer qui s'est connecté sur une machine distante,
à
partir de quelle machine en fait


Tu NE SAIS PAS LIRE les journaux, c'est tout !!!

Je viens de faire la manip à l"instant, en ouvrant une connexion Bureau à
distance depuis la machine "Poudenas" vers la machine "Korogho", et voici ce
que je lis dans le journal de sécurité de Korgoho (ID 540) :

Ouverture de session réseau réussie :
Utilisateur : BELLAMY
Domaine : KOROGHO
Id. de la session : (0x0,0x11848E)
Type de session : 3
Processus de session : NtLmSsp
Package d'authentification : NTLM
Nom de la station de travail : POUDENAS

Je sais donc qui s'est connecté à distance, à quelle date et heure et depuis
quelle machine.


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr





Publicité
Poster une réponse
Anonyme