Dans un réseau entreprise, une personne a fait une prise en main via le
Bureau à Distance sur une machine avec le compte admin.
Est-il possible de tracer, via un historique ou une log, quelle machine ou
IP s'est connectée de la sorte ?
Merci d'avance
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nina Popravka
On Fri, 16 Mar 2007 03:29:08 -0700, Vick wrote:
Dans un réseau entreprise, une personne a fait une prise en main via le Bureau à Distance sur une machine avec le compte admin. Dont il avait donc le pass :-)
Est-il possible de tracer, via un historique ou une log, quelle machine ou IP s'est connectée de la sorte ? Si vos audits de sécurité n'étaient pas activés auparavant, non.
-- Nina
On Fri, 16 Mar 2007 03:29:08 -0700, Vick
<Vick@discussions.microsoft.com> wrote:
Dans un réseau entreprise, une personne a fait une prise en main via le
Bureau à Distance sur une machine avec le compte admin.
Dont il avait donc le pass :-)
Est-il possible de tracer, via un historique ou une log, quelle machine ou
IP s'est connectée de la sorte ?
Si vos audits de sécurité n'étaient pas activés auparavant, non.
Dans un réseau entreprise, une personne a fait une prise en main via le Bureau à Distance sur une machine avec le compte admin. Dont il avait donc le pass :-)
Est-il possible de tracer, via un historique ou une log, quelle machine ou IP s'est connectée de la sorte ? Si vos audits de sécurité n'étaient pas activés auparavant, non.
-- Nina
Vick
l'audit de sécurité n'apporte rien en fait après vérification l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à partir de quelle machine en fait
On Fri, 16 Mar 2007 03:29:08 -0700, Vick wrote:
Dans un réseau entreprise, une personne a fait une prise en main via le Bureau à Distance sur une machine avec le compte admin. Dont il avait donc le pass :-)
Est-il possible de tracer, via un historique ou une log, quelle machine ou IP s'est connectée de la sorte ? Si vos audits de sécurité n'étaient pas activés auparavant, non.
-- Nina
l'audit de sécurité n'apporte rien en fait après vérification
l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à
partir de quelle machine en fait
On Fri, 16 Mar 2007 03:29:08 -0700, Vick
<Vick@discussions.microsoft.com> wrote:
Dans un réseau entreprise, une personne a fait une prise en main via le
Bureau à Distance sur une machine avec le compte admin.
Dont il avait donc le pass :-)
Est-il possible de tracer, via un historique ou une log, quelle machine ou
IP s'est connectée de la sorte ?
Si vos audits de sécurité n'étaient pas activés auparavant, non.
l'audit de sécurité n'apporte rien en fait après vérification l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à partir de quelle machine en fait
On Fri, 16 Mar 2007 03:29:08 -0700, Vick wrote:
Dans un réseau entreprise, une personne a fait une prise en main via le Bureau à Distance sur une machine avec le compte admin. Dont il avait donc le pass :-)
Est-il possible de tracer, via un historique ou une log, quelle machine ou IP s'est connectée de la sorte ? Si vos audits de sécurité n'étaient pas activés auparavant, non.
-- Nina
Nina Popravka
On Fri, 16 Mar 2007 03:59:00 -0700, Vick wrote:
l'audit de sécurité n'apporte rien en fait après vérification RDC = ouverture de session de type 10.
l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à partir de quelle machine en fait Le seul outil à faire ça à ma connaissance c 'est ça :
http://support.microsoft.com/?scid=kb%3Ben-us%3B837243&x&y port 3389. -- Nina
On Fri, 16 Mar 2007 03:59:00 -0700, Vick
<Vick@discussions.microsoft.com> wrote:
l'audit de sécurité n'apporte rien en fait après vérification
RDC = ouverture de session de type 10.
l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à
partir de quelle machine en fait
Le seul outil à faire ça à ma connaissance c 'est ça :
http://support.microsoft.com/?scid=kb%3Ben-us%3B837243&x&y
port 3389.
--
Nina
l'audit de sécurité n'apporte rien en fait après vérification RDC = ouverture de session de type 10.
l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à partir de quelle machine en fait Le seul outil à faire ça à ma connaissance c 'est ça :
http://support.microsoft.com/?scid=kb%3Ben-us%3B837243&x&y port 3389. -- Nina
Jean-Claude BELLAMY
"Vick" a écrit dans le message de news:
l'audit de sécurité n'apporte rien en fait après vérification Bien sûr que si !!!
l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à partir de quelle machine en fait
Tu NE SAIS PAS LIRE les journaux, c'est tout !!!
Je viens de faire la manip à l"instant, en ouvrant une connexion Bureau à distance depuis la machine "Poudenas" vers la machine "Korogho", et voici ce que je lis dans le journal de sécurité de Korgoho (ID 540) :
Ouverture de session réseau réussie : Utilisateur : BELLAMY Domaine : KOROGHO Id. de la session : (0x0,0x11848E) Type de session : 3 Processus de session : NtLmSsp Package d'authentification : NTLM Nom de la station de travail : POUDENAS
Je sais donc qui s'est connecté à distance, à quelle date et heure et depuis quelle machine.
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] http://www.bellamyjc.org ou http://jc.bellamy.free.fr
"Vick" <Vick@discussions.microsoft.com> a écrit dans le message de
news:BF6D6CAB-D4CE-4A50-AE09-37A5EDA17AD8@microsoft.com...
l'audit de sécurité n'apporte rien en fait après vérification
Bien sûr que si !!!
l'idée est de pouvoir tracer qui s'est connecté sur une machine distante,
à
partir de quelle machine en fait
Tu NE SAIS PAS LIRE les journaux, c'est tout !!!
Je viens de faire la manip à l"instant, en ouvrant une connexion Bureau à
distance depuis la machine "Poudenas" vers la machine "Korogho", et voici ce
que je lis dans le journal de sécurité de Korgoho (ID 540) :
Ouverture de session réseau réussie :
Utilisateur : BELLAMY
Domaine : KOROGHO
Id. de la session : (0x0,0x11848E)
Type de session : 3
Processus de session : NtLmSsp
Package d'authentification : NTLM
Nom de la station de travail : POUDENAS
Je sais donc qui s'est connecté à distance, à quelle date et heure et depuis
quelle machine.
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
l'audit de sécurité n'apporte rien en fait après vérification Bien sûr que si !!!
l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à partir de quelle machine en fait
Tu NE SAIS PAS LIRE les journaux, c'est tout !!!
Je viens de faire la manip à l"instant, en ouvrant une connexion Bureau à distance depuis la machine "Poudenas" vers la machine "Korogho", et voici ce que je lis dans le journal de sécurité de Korgoho (ID 540) :
Ouverture de session réseau réussie : Utilisateur : BELLAMY Domaine : KOROGHO Id. de la session : (0x0,0x11848E) Type de session : 3 Processus de session : NtLmSsp Package d'authentification : NTLM Nom de la station de travail : POUDENAS
Je sais donc qui s'est connecté à distance, à quelle date et heure et depuis quelle machine.
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Nina Popravka
On Fri, 16 Mar 2007 12:42:13 +0100, "Jean-Claude BELLAMY" wrote:
Type de session : 3
Non. Session type 2 = interactive Session type 3 = network Session type 10 = remote C'est parce que tu es en network qu'il te donne la station d'origine.
Et par défaut, je suis à peu près sûre que les logs de sécurité ne sont pas activés à ce niveau. -- Nina
On Fri, 16 Mar 2007 12:42:13 +0100, "Jean-Claude BELLAMY"
<Jean-Claude.Bellamy@wanadoo.fr> wrote:
Type de session : 3
Non.
Session type 2 = interactive
Session type 3 = network
Session type 10 = remote
C'est parce que tu es en network qu'il te donne la station d'origine.
Et par défaut, je suis à peu près sûre que les logs de sécurité ne
sont pas activés à ce niveau.
--
Nina
On Fri, 16 Mar 2007 12:42:13 +0100, "Jean-Claude BELLAMY" wrote:
Type de session : 3
Non. Session type 2 = interactive Session type 3 = network Session type 10 = remote C'est parce que tu es en network qu'il te donne la station d'origine.
Et par défaut, je suis à peu près sûre que les logs de sécurité ne sont pas activés à ce niveau. -- Nina
Vick
Jean-Claude, je ne mets pas du tout en doute ce que tu as écrit, mais après mes tests, il apparait que les logs du journal de sécurité dans l'Event Viewer ne tiennent pas compte à priori de ce type de connexion, car je viens de refaire le test d'une prise en main à distance, et rien ne s'écrit dans le journal .... :s il est possible que je ne sache pas lire les journaux, mais si rien de s'inscrit .... je regarde peut-etre pas au bon endroit non plus, qu'en penses-tu ? et attention, dans mon cas bien précis, la session ouverte sur la machine distante est en admin, et l'on prend la main également en admin, donc, il y a une continuité sur la session, et non une fermeture de celle-ci ..... cela implique peut-etre une différence pour Windows ....
"Vick" a écrit dans le message de news:
l'audit de sécurité n'apporte rien en fait après vérification Bien sûr que si !!!
l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à partir de quelle machine en fait
Tu NE SAIS PAS LIRE les journaux, c'est tout !!!
Je viens de faire la manip à l"instant, en ouvrant une connexion Bureau à distance depuis la machine "Poudenas" vers la machine "Korogho", et voici ce que je lis dans le journal de sécurité de Korgoho (ID 540) :
Ouverture de session réseau réussie : Utilisateur : BELLAMY Domaine : KOROGHO Id. de la session : (0x0,0x11848E) Type de session : 3 Processus de session : NtLmSsp Package d'authentification : NTLM Nom de la station de travail : POUDENAS
Je sais donc qui s'est connecté à distance, à quelle date et heure et depuis quelle machine.
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Jean-Claude, je ne mets pas du tout en doute ce que tu as écrit, mais après
mes tests, il apparait que les logs du journal de sécurité dans l'Event
Viewer ne tiennent pas compte à priori de ce type de connexion, car je viens
de refaire le test d'une prise en main à distance, et rien ne s'écrit dans le
journal .... :s
il est possible que je ne sache pas lire les journaux, mais si rien de
s'inscrit ....
je regarde peut-etre pas au bon endroit non plus, qu'en penses-tu ?
et attention, dans mon cas bien précis, la session ouverte sur la machine
distante est en admin, et l'on prend la main également en admin, donc, il y a
une continuité sur la session, et non une fermeture de celle-ci .....
cela implique peut-etre une différence pour Windows ....
"Vick" <Vick@discussions.microsoft.com> a écrit dans le message de
news:BF6D6CAB-D4CE-4A50-AE09-37A5EDA17AD8@microsoft.com...
l'audit de sécurité n'apporte rien en fait après vérification
Bien sûr que si !!!
l'idée est de pouvoir tracer qui s'est connecté sur une machine distante,
à
partir de quelle machine en fait
Tu NE SAIS PAS LIRE les journaux, c'est tout !!!
Je viens de faire la manip à l"instant, en ouvrant une connexion Bureau à
distance depuis la machine "Poudenas" vers la machine "Korogho", et voici ce
que je lis dans le journal de sécurité de Korgoho (ID 540) :
Ouverture de session réseau réussie :
Utilisateur : BELLAMY
Domaine : KOROGHO
Id. de la session : (0x0,0x11848E)
Type de session : 3
Processus de session : NtLmSsp
Package d'authentification : NTLM
Nom de la station de travail : POUDENAS
Je sais donc qui s'est connecté à distance, à quelle date et heure et depuis
quelle machine.
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Jean-Claude, je ne mets pas du tout en doute ce que tu as écrit, mais après mes tests, il apparait que les logs du journal de sécurité dans l'Event Viewer ne tiennent pas compte à priori de ce type de connexion, car je viens de refaire le test d'une prise en main à distance, et rien ne s'écrit dans le journal .... :s il est possible que je ne sache pas lire les journaux, mais si rien de s'inscrit .... je regarde peut-etre pas au bon endroit non plus, qu'en penses-tu ? et attention, dans mon cas bien précis, la session ouverte sur la machine distante est en admin, et l'on prend la main également en admin, donc, il y a une continuité sur la session, et non une fermeture de celle-ci ..... cela implique peut-etre une différence pour Windows ....
"Vick" a écrit dans le message de news:
l'audit de sécurité n'apporte rien en fait après vérification Bien sûr que si !!!
l'idée est de pouvoir tracer qui s'est connecté sur une machine distante, à partir de quelle machine en fait
Tu NE SAIS PAS LIRE les journaux, c'est tout !!!
Je viens de faire la manip à l"instant, en ouvrant une connexion Bureau à distance depuis la machine "Poudenas" vers la machine "Korogho", et voici ce que je lis dans le journal de sécurité de Korgoho (ID 540) :
Ouverture de session réseau réussie : Utilisateur : BELLAMY Domaine : KOROGHO Id. de la session : (0x0,0x11848E) Type de session : 3 Processus de session : NtLmSsp Package d'authentification : NTLM Nom de la station de travail : POUDENAS
Je sais donc qui s'est connecté à distance, à quelle date et heure et depuis quelle machine.
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] http://www.bellamyjc.org ou http://jc.bellamy.free.fr