В нашей организации у нас есть элемент управления, который наблюдает за пользователями, которые используют учетные записи Active Directory с высокими привилегиями для RDP на любом сервере или рабочей станции в нашей сети.
Недавно я включил этот элемент управления, который просматривает журналы, связанные со службами терминалов Windows, с определенными фильтрами для учетных записей с высоким уровнем привилегий в нашем домене.
Было несколько полезных журналов, которые указывают на пользователей, использующих эти учетные записи для RDP, но есть также несколько журналов, которые указывают на активность RDP, но поле «Исходный сетевой адрес» имеет значение «LOCAL».
Вот образец журнала (с очищенной конфиденциальной информацией):
Microsoft-Windows-TerminalServices-LocalSessionManager / Operational, 08.01.2014, 13: 31: 45 PM, Microsoft-Windows- TerminalServices-LocalSessionManager, 21, Information, N / A, None, N / A, comptername.domain.com , IP: 1.1.1.1,21, Службы удаленных рабочих столов: Вход в сеанс успешно: Пользователь: domain \ Highaccessaccount Идентификатор сеанса: 1 Исходный сетевой адрес: LOCAL
У меня вопрос: видел ли кто-нибудь журналы, похожие на этот, и есть ли у кого-нибудь представление о том, как пользователь может создать этот журнал с местом назначения, являющимся локальным компьютером?
Я только что проверил это на Windows Server 2008 R2. Это локальный вход прямо в консоль.
Это не mstsc /admin подключение к сеансу консоли (у которого никогда не будет идентификатора сеанса 1).