Отследить атаку на windows 2003 - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

- - Отследить атаку на windows 2003 (http://forum.oszone.net/showthread.php?t=221998)

malexon12

02-12-2011 11:35 1807870

Отследить атаку на windows 2003

Здравствуйте. К нам по всей видимости подключаются по RDP.
Скажите как можно отследить эти подключения и узнать ip адрес?

Blast

02-12-2011 11:42 1807873

Настройте аудит в локальных политиках - аудит входа в систему. Смотрите в журналах событий код события 10 - Logon Type Codes Revealed

malexon12

02-12-2011 12:04 1807888

Там вроде не пишется IP адрес. или мы ошибаемся?

Blast

02-12-2011 12:12 1807891

Не уверен, но должен писать вроде, должен быть логин, имя компьютера и IP компьютера с которого было подключение. Сейчас нет возможности проверить, но вы можете это сделать и самостоятельно. Пишется в журнал безопасности.

zero55

02-12-2011 22:30 1808287

Вот описание как разбирать журнал безопасности.
http://blog.wadmin.ru/2010/04/security-logs-audit/

При разборе журнала смотрите за типом входа 10 (Logon type: 10)

Время: 02:47.