どのユーザーやどのコンピュータが自分のコンピュータの Windows イベント ログ ファイルにリモート アクセスしているかを調べる方法はありますか? これらのアクセスにより、ローカル コンピュータ上のアプリケーションがロックされ、削除できなくなります。
このアクセスは、リモート マシンの mmc.exe からローカル マシンの svchost.exe (「eventlog」サービスを実行) のポート 5001 への TCP 接続として ProcessExplorer に表示されますが、私が判断できるのはそれだけです。
この答えを探し回ったのですが、PowerShell を使用して WMI オブジェクトを調べることを含め、特に役立つものは見つかりませんでした。ご協力いただければ幸いです。
答え1
まず第一に、イベントログにリモートでアクセスしている人はいないかもしれません。イベントログファイルは常に開いています。メモリマップファイルなので、ディスクから削除することはできません。
ディスクスペースが必要な場合は、イベントvwr.mscログファイルの最大サイズを変更します。変更は、イベントログサービスの次回の再起動まで有効になりません(おそらくマシンを再起動したときです)。
ログをクリア(つまりデータを削除)したい場合は、イベントmmcスナップイン。
イベントログを削除可能なファイルに保存する必要がある場合は、自動バックアップログファイルレジストリキーは削除されますが、メモリマップされたファイルは残ります。
ユーザーアカウントがリモートでコンピュータのイベントログにアクセスしている疑いがある場合、セキュリティログも含め、セキュリティログで次の点を確認してください。ID 4672 のイベント、そしてログインしているアカウントを探しますSeSecurity特権有効になっています。
セキュリティログにアクセスしていないと思われる場合は、セキュリティログでイベントを探すこともできます。ID 4624は、誰がリモートでコンピュータにアクセスしたかを表示します(ただし、イベントログにアクセスしたユーザーだけでなく、すべてのユーザーが含まれます)。これにより、少なくとも容疑者のリストが絞り込まれます
。ウェブティル監査SACLをログに追加するにははアクセスされているかどうかを確認します。プロセスは権限の追加 (DACL) とほぼ同じですが、許可または拒否ではなく、監査する項目を指定します。
少しエレガントさに欠けますが、リモート IP からの接続に気付いた場合は、以下を実行してみてください。qwinsta /サーバー:リモートIP. これにより、コンソールでローカルに、またはターミナル サービス経由でそのコンピューターにログオンしているユーザーが表示されます。「ユーザー」がサービス アカウントまたはスケジュールされたタスクである場合は役に立ちません。
答え2
ネットワーク モニターを使用して、特定のポートの着信トラフィックをスニッフィングすると、ソース IP が明確に表示されます。これを行うには、次の手順を実行します。
- リモート接続を取得している PC に、Microsoft から Network Monitor をダウンロードしてインストールします。これは無料のツールです。
- 新しいキャプチャを作成し、ポート 5001 への着信 TCP 接続をフィルターします (設定は非常に簡単で、UI も使いやすいです)。
- キャプチャを開始し、パケットが到着するまで待つと、リストのソース フィールドに送信元 IP が表示されます。パケット内をスニッフィングして、接続時に認証に関するヒントが表示されるかどうかを確認することもできます。