Saber si un usuario está conectado a su máquina

Iniciado por H4R4K1R1, Octubre 03, 2018, 02:06:06 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Octubre 03, 2018, 02:06:06 PM Ultima modificación: Octubre 03, 2018, 05:35:00 PM por Gabriela
Buenas Underc0ders,

Os comento la situación, tenemos la sospecha de que cierto usuario de nuestra compañía deja su turno desprotegido marchándose varias horas antes, y nos gustaría saber, si existe una forma de saber, (preferiblemente mediante powershell o herramientas de windows, directorio activo, etc), si el propio usuario está logueado en su máquina, o si sale como "ausente" dentro de la misma.

Pruebas que he hecho:

Ping constante a su máquina virtual:
Esto demostró que, su máquina empezó a soltar "time out" a la hora que sospechamos se marchó y dejó abandonado el puesto.


He utilizado este comando de powershell:
Código: php

Get-ADUser -Identity XXXX -Properties "LastLogonDate"



Que me muestra esta información:


Código: php
DistinguishedName : CN=xxxxxxxxxxx,OU=xxxxxxxxxx,OU=xxxxxxxxxx,OU=xxxxxxxxxx,OU=xxxxxx,DC=xxxxx,DC=xxxx,DC=xxxxxxxxxx
Enabled           : True
GivenName         : xxxxxxxxxxx
LastLogonDate     : 10/1/2018 10:35:46 AM
Name              : xxxxxxxxxxxxxxx
ObjectClass       : user
ObjectGUID        : xxxxxxxxxxxxx
SamAccountName    : xxxxxxxxxxx
SID               : xxxxxxxxxxxxx
Surname           : xxxxxxxxxxx
UserPrincipalName : xxxxxxxxxxxxxx


(El formato sale al revés, aquí lo utilizamos a la inversa, su último Logon sale como el 1 de Octubre, es algo raro).

¿Se os ocurren formas de investigar esto? ¿qué haríais?

Evidentemente hemos tirado de ingenieria social, como hablarle por chat a determinadas horas y que no respnda hasta el día siguiente, pero esto no demuestra nada...

Muchas gracias de antemano!!!

Que tengáis un buen día.
Octubre 03, 2018, 09:14:44 PM #1
Prácticamente siempre reviso el visor de ese usuario y ahí mismo te sale el ultimo login.

me llama sumamente la atención que el login que te figura como último es del 1 de octubre, lo cual se supone que hoy se conectó.... o está conectando con otra cuenta de usuario local ?. si o si tiene que salir el ultimo inicio, cierre o bloqueo de usuario en su visor.

te dejo unos parámetros que son para auditar el usuario de AD en particular, quizás con estos parámetros sacas algo más en concluso.

las veces que tuve que hacer una auditoria de este nivel, revise como te digo, su último movimiento de la cuenta que no le tendría que pifiar en la fecha.



No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario