Где можно посмотреть логи подключений к серверу (Windows Server 2000 и +) и как узнать на компе (тоже винда) айпишник того компа с которого к нему подключались службой удаленного доступа (а желательно доменное имя)
И еще вопрос. Где в локальных политиках отрубается сетевое окружение? я знаю что ключами 'AutoShareWks', 'AutoShareServer' в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\Parameters с 1 в значениях можно полностью отключить сетевые ресурсы (Admin$, С$ ит.). А где это прописывается в локальных политиках безопастности компа? И вообще неплохо было бы знать какими ключами реестра и какими привилегиями обеспечивается конкретная локальная политика
мне нужен именно лог, когда за компом сидят удаленным администрированием рабочего стола, комп заблокирован (так что cmd тут не поможет), мне после того как оттуда выйдут, нужно посмотреть откуда он подключался
seiko Тогда вижу только 1 вариант. Либо поставить фаер типа wipfw. И настроить логи на определенные события. Либо самому написать фильтр с помощью winpcap. Будет снифить траФ и выявлять подключения и отключения (ведь это TCP handshake). И потом эта прога отсылает отчет. Такое написать можно за день и даже меньше, если есть свободное время.
Ладно, тогда короче такой вопрос. Где можно нарыть инфу о структурах и функциях, которые принимают соединение по mstsc, неплохо было бы перехватить эти функции через винлогон аналогичным способом, что и делается в ms-remовской ловушке на пароли? (дллку в AppInit_DLLs)
seiko http://en.wikipedia.org/wiki/Terminal_Services Тут можно про архитектуру почитать. А вообще нашел некую инфу Не проверял - не юзаю этот сервис. Но проверьте инфу.
насчет ключа на каррент юзер у меня такого в майкрософт нет, на локал машин есть Termial Server Client, но нет локал девайсес. Это еще не о чем не говорит у меня дома я не могу подключиться к своему компу. Ща попробую подключиться с другого к своему, предварительно врубив службу и поставлю соответсвующие настройки, потом проверю появился ли новый ключ в том разделе
