Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Windows Windows XP Discussions Générales Connexion Bureau à Distance

Connexion Bureau à Distance

6 réponses
Avatar
Vick
Bonjour à tous,

Dans un réseau entreprise, une personne a fait une prise en main via le
Bureau à Distance sur une machine avec le compte admin.
Est-il possible de tracer, via un historique ou une log, quelle machine ou
IP s'est connectée de la sorte ?
Merci d'avance
Signaler un problème avec ce contenu

6 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Nina Popravka
On Fri, 16 Mar 2007 03:29:08 -0700, Vick
wrote:

Dans un réseau entreprise, une personne a fait une prise en main via le
Bureau à Distance sur une machine avec le compte admin.
Dont il avait donc le pass :-)


Est-il possible de tracer, via un historique ou une log, quelle machine ou
IP s'est connectée de la sorte ?
Si vos audits de sécurité n'étaient pas activés auparavant, non.

--
Nina

Avatar
Vick
l'audit de sécurité n'apporte rien en fait après vérification
l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à
partir de quelle machine en fait


On Fri, 16 Mar 2007 03:29:08 -0700, Vick
wrote:

Dans un réseau entreprise, une personne a fait une prise en main via le
Bureau à Distance sur une machine avec le compte admin.
Dont il avait donc le pass :-)


Est-il possible de tracer, via un historique ou une log, quelle machine ou
IP s'est connectée de la sorte ?
Si vos audits de sécurité n'étaient pas activés auparavant, non.

--
Nina




Avatar
Nina Popravka
On Fri, 16 Mar 2007 03:59:00 -0700, Vick
wrote:

l'audit de sécurité n'apporte rien en fait après vérification
RDC = ouverture de session de type 10.


l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à
partir de quelle machine en fait
Le seul outil à faire ça à ma connaissance c 'est ça :

http://support.microsoft.com/?scid=kb%3Ben-us%3B837243&x&y
port 3389.
--
Nina

Avatar
Jean-Claude BELLAMY
"Vick" a écrit dans le message de
news:
l'audit de sécurité n'apporte rien en fait après vérification
Bien sûr que si !!!


l'idée est de pouvoir tracer qui s'est connecté sur une machine distante,
à
partir de quelle machine en fait


Tu NE SAIS PAS LIRE les journaux, c'est tout !!!

Je viens de faire la manip à l"instant, en ouvrant une connexion Bureau à
distance depuis la machine "Poudenas" vers la machine "Korogho", et voici ce
que je lis dans le journal de sécurité de Korgoho (ID 540) :

Ouverture de session réseau réussie :
Utilisateur : BELLAMY
Domaine : KOROGHO
Id. de la session : (0x0,0x11848E)
Type de session : 3
Processus de session : NtLmSsp
Package d'authentification : NTLM
Nom de la station de travail : POUDENAS

Je sais donc qui s'est connecté à distance, à quelle date et heure et depuis
quelle machine.


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr

Avatar
Nina Popravka
On Fri, 16 Mar 2007 12:42:13 +0100, "Jean-Claude BELLAMY"
wrote:

Type de session : 3


Non.
Session type 2 = interactive
Session type 3 = network
Session type 10 = remote
C'est parce que tu es en network qu'il te donne la station d'origine.

Et par défaut, je suis à peu près sûre que les logs de sécurité ne
sont pas activés à ce niveau.
--
Nina

Avatar
Vick
Jean-Claude, je ne mets pas du tout en doute ce que tu as écrit, mais après
mes tests, il apparait que les logs du journal de sécurité dans l'Event
Viewer ne tiennent pas compte à priori de ce type de connexion, car je viens
de refaire le test d'une prise en main à distance, et rien ne s'écrit dans le
journal .... :s
il est possible que je ne sache pas lire les journaux, mais si rien de
s'inscrit ....
je regarde peut-etre pas au bon endroit non plus, qu'en penses-tu ?
et attention, dans mon cas bien précis, la session ouverte sur la machine
distante est en admin, et l'on prend la main également en admin, donc, il y a
une continuité sur la session, et non une fermeture de celle-ci .....
cela implique peut-etre une différence pour Windows ....


"Vick" a écrit dans le message de
news:
l'audit de sécurité n'apporte rien en fait après vérification
Bien sûr que si !!!


l'idée est de pouvoir tracer qui s'est connecté sur une machine distante,
à
partir de quelle machine en fait


Tu NE SAIS PAS LIRE les journaux, c'est tout !!!

Je viens de faire la manip à l"instant, en ouvrant une connexion Bureau à
distance depuis la machine "Poudenas" vers la machine "Korogho", et voici ce
que je lis dans le journal de sécurité de Korgoho (ID 540) :

Ouverture de session réseau réussie :
Utilisateur : BELLAMY
Domaine : KOROGHO
Id. de la session : (0x0,0x11848E)
Type de session : 3
Processus de session : NtLmSsp
Package d'authentification : NTLM
Nom de la station de travail : POUDENAS

Je sais donc qui s'est connecté à distance, à quelle date et heure et depuis
quelle machine.


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr