Detectar el inicio de sesión del usuario en el controlador de dominio de Windows

7

Estoy intentando detectar un evento de inicio de sesión de usuario en Windows DC (Win Server 2012), pero tengo los siguientes problemas:

  • El evento 4624 No está realmente seguro porque podría ser generado automáticamente. Por ejemplo, cuando el La política de grupo se actualiza automáticamente .

  • Es posible que la computadora local haya guardado en caché las credenciales del usuario para que DC no detecte el inicio de sesión del usuario.

Mi objetivo principal es detectar cuándo un usuario accede a su computadora fuera de las horas de trabajo, es decir, si el usuario tiene actividad entre las 22:00 y las 7:00. Además, mi único origen de datos son los archivos .evtx generados en el controlador de dominio.

windows login logging windows-server-2012 event-log DiegoS
fuente
4
Algo a considerar potencialmente sería hacer que las cuentas de usuario usen una secuencia de comandos de inicio de sesión y agreguen algo de lógica para tener algo colocado en un archivo de registro en un recurso compartido oculto o algo así. Otra cosa a considerar es no permitir el inicio de sesión en momentos específicos para cuentas específicas en Usuarios y computadoras de AD si no se supone que inicien sesión durante esos momentos, en realidad puede aplicar una política para evitar eso por completo en lugar de tener que buscar en un registro, busque Sepa quién hizo esto, infórmelo o hable con ellos al respecto, etc. después del hecho. Sólo un par de pensamientos rápidos sobre el tema.
Pimp Juice IT
1
¿Tienes más de un DC? Si es así, tendrá que controlarlos todos para detectar eventos de inicio de sesión, a menos que pueda garantizar qué DC se usará para autenticar al usuario.
Twisty Impersonator
Si tu solamente origen de datos son datos de registro de eventos de un DC, entonces usted no haga tener acceso a suficiente información para capturar todos eventos relevantes de inicio de sesión. ¿Está seguro de que no puede incluir eventos capturados por la estación de trabajo del usuario en su consulta?
Twisty Impersonator
Hay muchas estaciones de trabajo, podría pensar en una solución utilizando un centro de registro, ¿es posible sin utilizar herramientas de terceros?
DiegoS
Diego tu dices "Mi principal objetivo es detectar cuándo un usuario accede a su computadora fuera de las horas de trabajo" ¿Tengo curiosidad por saber qué se hará con estos datos que recopila y que tienen los inicios de sesión durante estas horas no laborables? Además, puede configurar una secuencia de comandos de inicio de sesión para que se ejecute si no puede encontrar el DC o el recurso compartido oculto que registra en un archivo de registro local, & amp; luego tenga la lógica allí que también indica si el recurso compartido oculto está disponible, copie el último archivo de inicio de sesión local en el mismo recurso compartido pero quizás una subcarpeta separada y haga que el nombre del registro sea %computername%.log quizás. Esto mostraría inicios de sesión en caché.
Pimp Juice IT

Respuestas:

2

Como dijo, el DC no captura los inicios de sesión en una computadora remota con credenciales almacenadas en caché, ya que la computadora no siempre está físicamente conectada al dominio. En su lugar, tendrá que revisar su computadora directamente mientras su computadora está en línea.

Puede usar el Visor de eventos o el comando wevtutil en un comando   Indicador para administrar los registros de eventos en una computadora remota.

  1. Iniciar el visor de eventos.
  2. Haga clic en el nodo raíz, por ejemplo Visor de eventos (local) , en el arbol de la consola.
  3. Sobre el Acción menú, haga clic en Conectarse a otra computadora
  4. En el Otra caja de la computadora , escriba el nombre o la dirección IP de la computadora remota.
  5. (Opcional) Seleccione Conectar como otro usuario , haga clic Establecer usuario , introducir el Nombre de usuario y Contraseña y luego haga clic en DE ACUERDO
  6. Hacer clic DE ACUERDO

Fuente: Trabajar con registros de eventos en una computadora remota - Microsoft TechNet

Buscar Evento 4648: se intentó iniciar sesión utilizando credenciales explícitas en su computadora

Como dice la descripción, es solo cuando un inicio de sesión utiliza credenciales explícitas. Este evento se genera al iniciar sesión o desbloquear incluso con las credenciales guardadas (es decir, Escritorio remoto).

Nota: Como con cualquier evento, puede hacer un filtrado adicional para eliminar cualquier evento generado automáticamente (menos común con 4648 y el nombre de usuario). La GUI (en la pestaña Filtro) proporciona filtrado en algunos campos. Usando la pestaña XML, puede filtrar en cualquier campo dentro del evento.

Steven
fuente
4648 no obtiene el inicio de sesión de las estaciones de trabajo en el dominio, solo obtiene los inicios de sesión que están explícitamente en el Servidor (DC).
DiegoS
Es probable que tenga que revisar los registros en su computadora. Ver respuesta editada.
Steven