none
Configurar Windows Server para detectar inicios de sesion y su IP. RRS feed

  • Pregunta

  • Buenos días,

    hace unos días/meses en mi compañía hemos detectado un extraño comportamiento de algunas cosas en nuestros servidores

    y de momento lo que se nos ocurra es que alguien se conecta con un usuario al servidor de Terminal Server (Conexiones RDP) y borra alguna información bastante importante.

    Estaba buscando alguna forma de saber que usuario se conecta a su sesión, que hora (no tan relevante), a que servidor (igual se conecta directamente al servidor de dato) y la IP del equipo que se ha conectado.

    Alguien sabe una forma de sacar esta información cada vez que se conecta un usuario?

    He estado mirando en muchos sitios, probando varias cosas, pero no doy con el resultado que quiero obtener.

    O igual me pueden dar alguna otra solución a mi problema principal:

    Lo que nos ocurre, es que sin frecuencia alguna, se elimina los datos de un usuario random, carpetas como (Escritorio, documentos, descargas, imágenes, y videos)

    A tener en cuenta, que estas carpetas por una GPO se están moviendo a otra unidad para no saturar la unidad C del server.

    Gracias de antemano.


    martes, 4 de septiembre de 2018 10:54

Respuestas

  • Hola Ivan,

    Esa información la tienes en el visor de eventos, pero tienes que activarla en el servidor (por política local o de dominio). Te dejo un ejemplo.

    Otra opción es habilitar la auditoria de borrado de ficheros, ojo que el log va a crecer un poquito.

    Por abrir otra vía (no suelo creer que mis usuarios son malas personas :) ) esa GPO que mencionas apunta a otra carpeta o hace un roaming profile? Te lo pregunto por que los roaming profile pueden dar algún problema que no este sincronizando correctamente (permisos, ficheros abiertos, etc...) y eso puede ocasionar que luego algún fichero no aparezca. 

    Saludos,

    • Marcado como respuesta Ivan715 martes, 4 de septiembre de 2018 15:49
    martes, 4 de septiembre de 2018 11:26
  • Buenas Blacksmith

    lo del ejemplo que pusiste, le dare un vistazo y a ver si me da la info que quiero, que hice ya alguna prueba y parece que si, lo único ahora tendré que configurar para que se me envíe un mensaje con la info para que sea más fácil mirar la info.

    La opción de auditoria, no es mala, pero como mencionas el log crecerá, y igual no mucho ya que tengo sospechas sobre un usuario (Administrador), y con ese usuario no se elimina  muchas veces.

    Tampoco quiero pensar que es alguno de mis usuarios, más bien quiero pensar que de alguna forma se ha filtrado la contraseña de administrador, ya que otros usuarios no tienen acceso a carpetas de sus compañeros. Es decir un usuario no puede acceder a carpetas de otro.

    La directiva que comento, la configuro de el servidor de dominio, lo que hace es cambiar de unidad a la carpetas de cada usuario a otra unidad. por ejemplo: carpeta: "C:\Users\Administrador\Desktop\" Mover a "F:\Perfil\Administrador\Desktop\". no creo que sea ese el problema ya que si pasaría, pasaría a todos y no solo a alguno y de forma inesperada (de un día para otro) y sin frecuencia alguna.

    gracias, de momento me has ayudado



    • Editado Ivan715 martes, 4 de septiembre de 2018 15:53
    • Marcado como respuesta Pablo RubioModerator miércoles, 12 de septiembre de 2018 15:11
    martes, 4 de septiembre de 2018 15:49

Todas las respuestas

  • Hola Ivan,

    Esa información la tienes en el visor de eventos, pero tienes que activarla en el servidor (por política local o de dominio). Te dejo un ejemplo.

    Otra opción es habilitar la auditoria de borrado de ficheros, ojo que el log va a crecer un poquito.

    Por abrir otra vía (no suelo creer que mis usuarios son malas personas :) ) esa GPO que mencionas apunta a otra carpeta o hace un roaming profile? Te lo pregunto por que los roaming profile pueden dar algún problema que no este sincronizando correctamente (permisos, ficheros abiertos, etc...) y eso puede ocasionar que luego algún fichero no aparezca. 

    Saludos,

    • Marcado como respuesta Ivan715 martes, 4 de septiembre de 2018 15:49
    martes, 4 de septiembre de 2018 11:26
  • Buenas Blacksmith

    lo del ejemplo que pusiste, le dare un vistazo y a ver si me da la info que quiero, que hice ya alguna prueba y parece que si, lo único ahora tendré que configurar para que se me envíe un mensaje con la info para que sea más fácil mirar la info.

    La opción de auditoria, no es mala, pero como mencionas el log crecerá, y igual no mucho ya que tengo sospechas sobre un usuario (Administrador), y con ese usuario no se elimina  muchas veces.

    Tampoco quiero pensar que es alguno de mis usuarios, más bien quiero pensar que de alguna forma se ha filtrado la contraseña de administrador, ya que otros usuarios no tienen acceso a carpetas de sus compañeros. Es decir un usuario no puede acceder a carpetas de otro.

    La directiva que comento, la configuro de el servidor de dominio, lo que hace es cambiar de unidad a la carpetas de cada usuario a otra unidad. por ejemplo: carpeta: "C:\Users\Administrador\Desktop\" Mover a "F:\Perfil\Administrador\Desktop\". no creo que sea ese el problema ya que si pasaría, pasaría a todos y no solo a alguno y de forma inesperada (de un día para otro) y sin frecuencia alguna.

    gracias, de momento me has ayudado



    • Editado Ivan715 martes, 4 de septiembre de 2018 15:53
    • Marcado como respuesta Pablo RubioModerator miércoles, 12 de septiembre de 2018 15:11
    martes, 4 de septiembre de 2018 15:49
  • Si hay presupuesto sugiero el CA ControlMinder.

    martes, 4 de septiembre de 2018 23:47