none
Server; Domínio; Logs RRS feed

  • Pergunta

  • Boa noite!

    Tentarei resumir... há uns 2 anos, implantei um Servidor Dell Poweredge T110 em uma empresa aqui da cidade. Coloquei todos os clientes no domínio, e cada qual com sua senha e cadastrados no AD.

    Pois bem, semana passada alguém conseguiu transferir 112.000,00 de uma das contas, através de um notebook que estava no Domínio. Desconfiamos de várias coisas, inclusive de acesso através de um programa remoto que trava a tela do usuário, e que deixa quem está acessando remotamente livre para mexer no notebook.

    Enfim, tem como eu resgatar informações através de Logs no servidor, ou algo assim que possa mostrar rastros desse dia? Visto que pelo notebook onde aconteceu isso não dá mais porque eu mesmo o formatei usando Diskpart.

    Muito obrigado!

    Me lembrei de um detalhe: Aqui a gente não tem IP fixo do provedor de internet. A cada desligada do modem recebemos outro IP da operadora. E talvez seja via a rádio a internet na empresa; E todos os clientes tem ip fixo e claro, o DNS é o IP do servidor (perdoe a minha limitação...)


    • Editado Willian Elias sábado, 7 de maio de 2016 02:54 Adição de detalhes
    sábado, 7 de maio de 2016 02:45

Respostas

  • Realmente você esta com um problema critico pois você formatou o notebook que talvez fosse sua principal arma para achar o responsável! O que resta agora é saber qual o usuário do domínio que aprontou, se foi um usuário local de alguma aplicação ai complica! Vamos lá:

    1. Você tinha GPO de auditoria configurado em seu domínio?
    2. Já procurou os logs de acesso ao servidor pelo nome do computador?
    3. Já checou os logs do servidor AD do systema e aplicação?
    4. Da aplicação que o roubo aconteceu, consegue ver os logs da operação?

    Acho que por este caminho você consegue algo, no entanto, seu ambiente é limitado e precisa de uma consultoria de segurança para que isso não volte a ocorrer.

    Boa sorte!


    Fabio Gomes STS,LPI,MCP,MCTS,MCSA,MCITP,MCT Veja meus artigos no TechNet Wiki Veja meus artigos no blog http://virtualizandoaju.wordpress.com/ "Você pode, se acredita que pode."

    sábado, 7 de maio de 2016 13:25

Todas as Respostas

  • Realmente você esta com um problema critico pois você formatou o notebook que talvez fosse sua principal arma para achar o responsável! O que resta agora é saber qual o usuário do domínio que aprontou, se foi um usuário local de alguma aplicação ai complica! Vamos lá:

    1. Você tinha GPO de auditoria configurado em seu domínio?
    2. Já procurou os logs de acesso ao servidor pelo nome do computador?
    3. Já checou os logs do servidor AD do systema e aplicação?
    4. Da aplicação que o roubo aconteceu, consegue ver os logs da operação?

    Acho que por este caminho você consegue algo, no entanto, seu ambiente é limitado e precisa de uma consultoria de segurança para que isso não volte a ocorrer.

    Boa sorte!


    Fabio Gomes STS,LPI,MCP,MCTS,MCSA,MCITP,MCT Veja meus artigos no TechNet Wiki Veja meus artigos no blog http://virtualizandoaju.wordpress.com/ "Você pode, se acredita que pode."

    sábado, 7 de maio de 2016 13:25
  • Bom dia,

    Por falta de retorno, esta thread será encerrada.

    Caso seja necessário, por gentileza, abra uma nova thread.

    Atenciosamente


    Thales F Quintas

    Esse conteúdo e fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    terça-feira, 10 de maio de 2016 14:39