以前给一些Windows机器开启了审计功能,可以在系统的安全日志里面看到一些东西,但是没有具体了解开启某一项审计到底能记录什么东西。
今天测试了一下只开“帐户登录”,用远程桌面登录上去,可以看到一个帐户登陆成功的日志,但是并没有记录从哪台机器登录的。再打开“登陆事件”,再次通过远程桌面登陆,系统安全性日志能够看到登录用户和登录机器的源IP。这时通过SMB访问共享的目录,日志中也有登录事件的日志,只是事件ID等信息和远程桌面登录并不一样。所以Windows系统要审计所有的登录,应该开启“登录事件”而不是只开“帐户登录”。需要区分不同类型的登录,可以对事件ID进行排序;-)。
Leave a Reply