Windowsサーバーにリモートアクセスしたコンピューターのログを取得する
チームのメンバー以外の誰かがWindows 2008 Serverにリモートアクセスするための資格情報を取得したのではないかと疑っています。指を向ける前、または誰かが私たちのサーバーをハッキングしている可能性があることを全員に警告する前に、いくつかの証拠を入手する必要があります。
サーバーにリモートアクセスしたすべてのコンピューターのログを取得できますか(リモートアクセスとは、Windowsサーバーのリモートデスクトップ機能を使用することを意味します)。理想的には、各コンピュータに関する情報、少なくともパブリックIPアドレスが必要です。
任意の助けいただければ幸いです。
誰かがあなたのサーバーにアクセスすると、それはあなたのサーバーではなくなります。ログとバイナリが改ざんされる可能性があることを意味します。
Windowsにはセキュリティログがあり、(正しく構成されていれば)次のことができます。
- アカウントログオンイベント
- アカウント管理
- ディレクトリサービスアクセス
- ログオンイベント
- オブジェクトアクセス
- ポリシーの変更
- 特権の使用
- プロセス追跡
- システムイベント
ここには問題点があります。管理者は(前述のように)ログを改ざんすることができます。よくわからない場合は、サーバーとネットワークの間にスニファを配置することをお勧めします。このようにして、すべての着信接続と発信接続を監視し、マシンにアクセスするIPが本当に正当かどうかを判断できます。