تخفیف های ویژه عیدانه توسینسو
تا 60 درصد تخفیف ویژه
00ساعت 00دقیقه 00ثانیه
کامران

ورود به سیستم بدون دسترسی فیزیکی

سلام.یکی از همکاران من که سیستمش رو روشن میذاره از داخل event viewer متوجه شده که یک نفر وقتی شرکت تعطیل هست وارد سیستمش شده و یک نرم افزار هم داشته که بسته شده.خودم هم چک کردن دیدم درسته و فلان ساعت که کسی تو شرکت نبوده سیستمش لاگین ثبت کرده. من لاگ روتر هم چک کردم دیدم درسته اون ساعت سیستمش کار کرده، نگهبان هم مطمئن هست که کسی داخل شرکت نبوده احتمالش هست از راه های دیگه وارد شده باشن؟

این سوال 2 پاسخ دارد.
لذت یادگیری با توسینسو
به عنوان شخصی که مدت هاست از سایت توسینسو استفاده می کنم باید بگم که واقعاً یکی از بهترین مرجع ها برای ارتقاء دانش شخصی هست. دوره های سایت، راهکارها و مطالب، همگی عالی هستند.

Event ID چند بوده ؟ لطفا اطلاعات Event رو ارسال کنید.

Senior Systems Engineer
کامران

event

لطفا اطلاعات کامل Event ID 4624 رو ارسال کنید.

Senior Systems Engineer
کامران

کامران

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          02/12/2020 02:26:43 ق.ظ
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      user-PC
Description:
An account was successfully logged on.

Subject:
 Security ID:  SYSTEM
 Account Name:  user-PC
 Account Domain:  WORKGROUP
 Logon ID:  0x3e7

Logon Type:   5

New Logon:
 Security ID:  SYSTEM
 Account Name:  SYSTEM
 Account Domain:  NT AUTHORITY
 Logon ID:  0x3e7
 Logon GUID:  {00000000-0000-0000-0000-000000000000}

Process Information:
 Process ID:  0x310
 Process Name:  C:\Windows\System32\services.exe

Network Information:
 Workstation Name: 
 Source Network Address: -
 Source Port:  -

Detailed Authentication Information:
 Logon Process:  Advapi  
 Authentication Package: Negotiate
 Transited Services: -
 Package Name (NTLM only): -
 Key Length:  0

This event is generated when a logon session is created. It is generated on the computer that was accessed.

The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).

The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.

The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
 - Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.
 - Transited services indicate which intermediate services have participated in this logon request.
 - Package name indicates which sub-protocol was used among the NTLM protocols.
 - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Event Xml:

 
   
    4624
    0
    0
    12544
    0
    0x8020000000000000
   
    182532
   
   
    Security
    Planing-PC
   
 
 
    S-1-5-18
    user-PC$
    WORKGROUP
    0x3e7
    S-1-5-18
    SYSTEM
    NT AUTHORITY
    0x3e7
    5
    Advapi  
    Negotiate
   
   
    {00000000-0000-0000-0000-000000000000}
    -
    -
    0
    0x310
    C:\Windows\System32\services.exe
    -
    -
 

Logon type عدد 5 بوده و لاگین با سطح دسترسی SYSTEM انجام شده. احتمالا سرویسی چیزی برای انجام دادن کارش به صورت Interactive احرازهویت شده و کارش رو انجام داده.

Senior Systems Engineer
  • انتخاب شده به عنوان جواب توسط 1 نفر
کامران

متشکر. پس شخصی وارد سیستم نشده ؟

کامران

از کجا میتونم اطلاعات بیشتر بگیرم در این مورد که به شرکت ارائه بدم؟

پس شخصی وارد سیستم نشده ؟

خیر

از کجا میتونم اطلاعات بیشتر بگیرم در این مورد که به شرکت ارائه بدم؟

از گوگل ;)

Senior Systems Engineer
علی آقامیری

اطلاعات بیشتر از Log خود ویندوز ؟ داره میگه :

Logon Type:   5

New Logon:
 Security ID:  SYSTEM
 Account Name:  SYSTEM
 Account Domain:  NT AUTHORITY

اینجا رو هم ببینید که type 5 چه معنی میده :

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624

** هیچ اگر سایه پذیرد ، منم آن سایه هیچ **
  • انتخاب شده به عنوان جواب توسط 1 نفر
پاسخ شما
برای ارسال پاسخ خود وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×