¿Existe alguna manera de determinar qué usuario y/o qué computadora accede de forma remota a los archivos de registro de eventos de Windows de mi computadora? Estos accesos bloquean aplicaciones en el ordenador local y evitan así su eliminación.
Este acceso aparece en ProcessExplorer como una conexión TCP desde mmc.exe en la máquina remota al puerto 5001 de svchost.exe (que ejecuta el servicio "eventlog") en la máquina local, pero eso es todo lo que puedo determinar.
He buscado esta respuesta por todas partes, pero no he encontrado nada de particular utilidad, incluida la búsqueda en objetos WMI usando PowerShell. Gracias por cualquier ayuda que pueda ofrecer.
Respuesta1
En primer lugar, es posible que nadie acceda a sus registros de eventos de forma remota. Los archivos de registro de eventos siempre están abiertos. Ellos sonarchivos mapeados en memoria, por lo que no puedes simplemente eliminarlos del disco.
Si necesita espacio en disco, debe abrireventovwr.mscy modifique el tamaño máximo del archivo de registro allí. El cambio no entrará en vigor hasta el próximo reinicio del servicio de registro de eventos (que probablemente ocurrirá cuando reinicie la máquina).
Si desea borrar los registros (es decir, eliminar los datos), también puede hacerlo en eleventovwrcomplemento mmc.
Si necesita mantener registros de eventos en un archivo eliminable, puede usar elArchivos de registro de copia de seguridad automáticaclave de registro, pero los archivos asignados en memoria aún permanecerán.
Si aún sospecha que una cuenta de usuario está accediendo al registro de eventos de su computadora de forma remota, y esto incluye el registro de seguridad, debe verificar el registro de seguridad paraeventos con ID 4672y busque cuentas que inicien sesión conSeSeguridadPrivilegioactivado.
Si cree que no se accede al registro de seguridad, aún puede buscar eventos en el registro de seguridad concédula 4624, que debería mostrarle quién ha estado accediendo a la computadora de forma remota (pero incluirá a todos los usuarios, no solo a los que acceden a los registros de eventos). Esto al menos debería reducir su lista de sospechosos.
Siempre puedes usarwevtutilpara agregar una SACL de auditoría a los registros que creesonsiendo accedido. El proceso es muy similar al de agregar permisos (DACL), excepto que usted dice qué cosas deben auditarse, en lugar de permitirse o denegarse.
Un poco menos elegante, pero cuando notes una conexión desde la IP remota, puedes intentar ejecutarqwinsta/servidor:IP remota. Esto le mostrará quién ha iniciado sesión en esa computadora, ya sea localmente en la consola o mediante servicios de terminal. No ayudará si el "usuario" es una cuenta de servicio o una tarea programada.
Respuesta2
Puede utilizar Network Monitor para detectar el tráfico entrante en ese puerto en particular y la IP de origen se mostrará claramente. Para hacer esto:
- Descargue e instale Network Monitor de Microsoft en la PC que recibe las conexiones remotas. Es una herramienta gratuita.
- Cree una nueva captura y filtre las conexiones TCP entrantes al puerto 5001 (es bastante sencillo de configurar, la interfaz de usuario es amigable).
- Inicie la captura y espere hasta que lleguen los paquetes, verá la IP de origen en el campo Fuente de la lista. Incluso podría olfatear el interior de los paquetes y comprobar si se muestra una pista sobre la autenticación al conectarse.