Comment surveiller qui est connecté?

Dans notre département, nous mettons en œuvre une nouvelle politique d'administration: tout le monde dans un département que nous soutenons recevra l'access administrateur à ses ordinateurs. Nous devons savoir (alors que nous effectuons cette politique de «programme pilote» dans ce département) qui ont ouvert une session, et quand ils l'ont fait, sur n'importe quelle machine. Alors, comment puis-je (en utilisant un script powershell, un script cmd ou d'autres moyens automatiques), découvrez qui s'est connecté sur une machine Windows 7 ou XP donnée?

Vous pouvez créer un script de connection et le lier dans la stratégie de groupe pour les ordinateurs qui échangent %date% %time% %username% %computername% %% %date% %time% %username% %computername% à un file sur un partage caché quelque part. Ensuite, vous disposerez d'un journal centralisé de toutes les connections.

Surveillez les journaux d'events sur les controllers de domaine pour l' événement 672 . Il affichera tous les events d'ouverture de session réussis pour les users AD et l'ordinateur sur lequel ils ont ouvert une session. Filtrer par ordinateur pour get des events d'ouverture de session uniquement pour les ordinateurs qui vous intéressent.

Je pense que ce que vous cherchez probablement est de savoir chaque fois que le controller de domaine / le active directory authentifie un user. Certaines explications peuvent être trouvées dans http://www.windowsecurity.com/articles/windows-active-directory-auditing.html

Audit des events d'ouverture de session – Cela vérifiera chaque événement lié à un user se connectant à, se déconnecter ou établir une connection réseau à l'ordinateur configuré pour vérifier les events d'ouverture de session. Un bon exemple de l'logging de ces events est lorsqu'un user se connecte de façon interactive à son post de travail en utilisant un count d'user de domaine. Cela générera un événement sur le post de travail, mais pas sur le controller de domaine qui a effectué l'authentification. Essentiellement, les events d'ouverture de session sont suivis là où la tentative d'ouverture de session se produit, et non pas dans le cas où le count d'user réside. Ce paramètre n'est pas activé pour tout operating system, à l'exception des controllers de domaine Windows Server 2003, qui est configuré pour vérifier la réussite de ces events. Il est courant et les meilleures pratiques pour save ces events sur tous les ordinateurs sur le réseau.

Activé sur toutes les machines et utilisé avec un système qui tirera les journaux de toutes les machines, je considérerais cela comme le plus fiable.

Une fois que vous avez accédé au groupe d'administrateurs, vous risquez essentiellement de «perdre» l'ordinateur, et il peut être difficile de le récupérer.

Dans un travail précédent, The Powers That Were (au lieu de Be) a décidé qu'il s'agissait en fait d'une idée bangp pour me forcer à être dans le groupe d'administration pour le post de travail XP Pro qui m'a été assigné. Comme j'étais administrateur d'autres systèmes qui ont adhéré à ce domaine, j'ai eu un autre count pour les administrateurs que je pourrais utiliser comme je l'ai jugé approprié (installation occasionnelle ou mise à jour de logiciels, ou des choses comme ça). Il était peu pratique d'échanger les rôles de ces deux counts (échange, appartenance à plusieurs groupes de servers, ACL d'objects FS et ainsi de suite). Je ne suis tout simplement pas d'accord avec le fait que je devais être obligé de me connecter au système au jour le jour en tant qu'administrateur. Donc, bien sûr, j'avais l'habitude de configurer la politique de l'ordinateur local (gpedit) pour exécuter des scripts de démarrage de manière asynchronous et visible, et j'ai créé un CMD. Naturellement, cela a montré sa window sur la connection winstation (je pense que je décris ce droit, pas sûr) avec un jeton de security super-user (SYSTEM). De là, je pouvais faire tout ce que je voulais, y compris supprimer mon SID de domaine au jour le jour du groupe d'administration local (après une mode), append mon count d'administrateur prévu à l'administrateur local et créer un travail de planificateur de tâche récurrent à faire que toutes les quelques heures (pour contourner les rafraîchissements automatiques de GPO).

Donner leur administration leur permettrait également de créer des counts locaux et de les utiliser au lieu de counts de domaine, et tout simplement utiliser "net use / user: DOM \ user" pour s'authentifier sur votre domaine pour accéder à toutes les ressources du réseau, et seulement quand ils le voulaient . Donc, n'importe quoi comme essayer de surveiller les identifiants / logos peut être un peu risqué et inexacte. Avec l'access à l'administrateur, si je ne me trompe pas, il ne serait pas si difficile de "couvrir leurs pistes", au less localement (comme la suppression des journaux des events, la configuration des caractéristiques du service d'logging des events, la modification de la stratégie d'audit , etc.)

Je réfléchirais longuement sur la raison pour laquelle vous faites cela, et peut-être find un autre moyen de leur donner un access administratif complet. Le model de security Windows est extrêmement fin, et à peu près n'importe quel object (file, service, input de registre, etc.) peut avoir une ACL, et les SID (p. Ex., Groupes) possèdent un set de droits qui peuvent leur être accordés.

Les counts locaux ou le domaine? Voulez-vous dire que leurs counts principaux sont des administrateurs ou qu'ils obtiendront un count admin spécifiquement pour les changements? Si elle est centrale sur un domaine, vous pouvez vérifier les journaux d'events de security sur les controllers de domaine et / ou l'événement de security se connecte sur les ordinateurs locaux

Voici la documentation Microsoft des inputs du journal des events de security et de quoi searchr. Soyez conscient que si vous vérifiez les machines locales, les administrateurs peuvent effacer les journaux.

L'ouverture de session d'audit est un bon terme de Google pour plus de lecture.

Vous pouvez surveiller qui se connecte et se déconnecte. Devrait fonctionner sur Windows 7 et Windows Server 2008 R2: http://teusje.wordpress.com/2012/09/11/windows-server-logging-users-logon-and-logoff-via-powershell/