:strip_icc():strip_exif()/u/63621/dutch_flag_minbuza.jpg?f=community)
We hebben hier het idee dat iemand via terminal services op onze server inlogt. Bij het afsluiten afgelopen zaterdag stond er iets in de trent van: er is nog 1 user connected via terminal server.
Nou dacht ik, er is gewoon een security log met loginpogingen. Ik kijk daar even in om te zien wat er gebeurd is. (audit login events staat op succes,failure)
Op 2 dec. kwam de melding dat iemand ingelogd was. op 4 dec had ik even toegang tot die server (lokaal) en toen keek ik naar de security log. Was hij maar van 29 nov tot 30 nov gevuld? Hoe kan dit? Het log sloeg ook niets op van de werknemers die op 4 dec waren ingelogd. Terwijl dit voor december dus netjes wel gebeurde (ook al reikt de historie niet zo ver?)
Ik vind het allemaal zeer vreemd. Moeten we denken aan een 'hacker' (terminal services extern staat niet open voor zover ik weet), een bug in de logging, of iets anders?
Nou dacht ik, er is gewoon een security log met loginpogingen. Ik kijk daar even in om te zien wat er gebeurd is. (audit login events staat op succes,failure)
Op 2 dec. kwam de melding dat iemand ingelogd was. op 4 dec had ik even toegang tot die server (lokaal) en toen keek ik naar de security log. Was hij maar van 29 nov tot 30 nov gevuld? Hoe kan dit? Het log sloeg ook niets op van de werknemers die op 4 dec waren ingelogd. Terwijl dit voor december dus netjes wel gebeurde (ook al reikt de historie niet zo ver?)
Ik vind het allemaal zeer vreemd. Moeten we denken aan een 'hacker' (terminal services extern staat niet open voor zover ik weet), een bug in de logging, of iets anders?
:strip_icc():strip_exif()/u/83667/DDZ_Maliebaan_70px.jpg?f=community)
