Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Inicios de sesion

13/06/2007 - 10:19 por Vicente | Informe spam
Ayuda Hacer una pregunta
Hola.

Revisando el visor de sucesos de un W2003 Server en un dominio aparecen
inicios/cierres de sesion (538) de muchos usuarios en horarios fuera de
oficina. Realmente ellos no entran al sistema. Qué puede estar generando esos
eventos?

Gracias
email Siga el debateRespuesta 3 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#1 Desiderio Ondo.
13/06/2007 - 10:56 | Informe spam
Hola, Vicente:

Por lo que comentas, parece ser obvio que tienes algún grupo de
usuarios que intentan iniciar la sesión suplantando la identidad de
los usuarios legítimos.

Como no indicas si se trata de unos intentos de loggin presenciales
o por remoto, te sugiero securices los datos de inicio de sesión a
dichas cuentas (cambio de password, principalmente y permisos de
accesos a <server>, y decolgarlos del grupo de inicio de sesión por
Servicios de Terminal, eliminar el caché del logon... entre otros) así
como comprobar si hay alguien en el puesto físico de los usuarios
(por si acaso).


Espero haberte servidor de ayuda. Un saludo.
==· Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==




"Vicente" escribió en el mensaje
news:
Hola.

Revisando el visor de sucesos de un W2003 Server en un dominio aparecen
inicios/cierres de sesion (538) de muchos usuarios en horarios fuera de
oficina. Realmente ellos no entran al sistema. Qué puede estar generando
esos
eventos?

Gracias
Respuesta Responder a este mensaje
#2 Vicente
13/06/2007 - 11:11 | Informe spam
No son de los usuarios, ni por remoto. Eso es seguro. No hay nadie en la
oficina, y por remoto no está permitido.

"Desiderio Ondo." wrote:



Hola, Vicente:

Por lo que comentas, parece ser obvio que tienes algún grupo de
usuarios que intentan iniciar la sesión suplantando la identidad de
los usuarios legítimos.

Como no indicas si se trata de unos intentos de loggin presenciales
o por remoto, te sugiero securices los datos de inicio de sesión a
dichas cuentas (cambio de password, principalmente y permisos de
accesos a <server>, y decolgarlos del grupo de inicio de sesión por
Servicios de Terminal, eliminar el caché del logon... entre otros) así
como comprobar si hay alguien en el puesto físico de los usuarios
(por si acaso).


Espero haberte servidor de ayuda. Un saludo.
==> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>




"Vicente" escribió en el mensaje
news:
> Hola.
>
> Revisando el visor de sucesos de un W2003 Server en un dominio aparecen
> inicios/cierres de sesion (538) de muchos usuarios en horarios fuera de
> oficina. Realmente ellos no entran al sistema. Qué puede estar generando
> esos
> eventos?
>
> Gracias



Respuesta Responder a este mensaje
#3 Desiderio Ondo.
13/06/2007 - 11:28 | Informe spam
Hola, Vicente:

El evento 538 es un suceso de auditoría que registra en el Visor
de Eventos del sistema un cierre exitoso de sesión. Suele venir
asociado con el evento 528 que indica un inicio de sesión. Los
motivos del cierre mismo pueden ser bien por cierre solicitado por
<USER> por finalización de tiempo de conexión de red o bien por
configuración de energía de la estación cliente.

Ahora bien, en lo que no estoy muy seguro es si la cuenta del PC
está incluída entre los mismos (creo que no). En todo caso, y
basándome en "Maicrosoft", todo apunta a que un <USER> físico
ha cerrado la sesión:
http://www.microsoft.com/spain/tech...ecops.aspx


Espero haberte servidor de ayuda. Un saludo.
==· Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==




"Vicente" escribió en el mensaje
news:
No son de los usuarios, ni por remoto. Eso es seguro. No hay nadie en la
oficina, y por remoto no está permitido.

"Desiderio Ondo." wrote:



Hola, Vicente:

Por lo que comentas, parece ser obvio que tienes algún grupo de
usuarios que intentan iniciar la sesión suplantando la identidad de
los usuarios legítimos.

Como no indicas si se trata de unos intentos de loggin presenciales
o por remoto, te sugiero securices los datos de inicio de sesión a
dichas cuentas (cambio de password, principalmente y permisos de
accesos a <server>, y decolgarlos del grupo de inicio de sesión por
Servicios de Terminal, eliminar el caché del logon... entre otros) así
como comprobar si hay alguien en el puesto físico de los usuarios
(por si acaso).


Espero haberte servidor de ayuda. Un saludo.
==>> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>>




"Vicente" escribió en el mensaje
news:
> Hola.
>
> Revisando el visor de sucesos de un W2003 Server en un dominio aparecen
> inicios/cierres de sesion (538) de muchos usuarios en horarios fuera de
> oficina. Realmente ellos no entran al sistema. Qué puede estar
> generando
> esos
> eventos?
>
> Gracias



email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida