Используя систему SIEM, как я могу следить за развитием события кого-то удаленный вход в систему в использующее компьютеры локальная учетная запись adminstrator?
При помощи RDP Вы можете удаленный вход в систему с помощью локальной учетной записи adminstrator в компьютер, даже не будучи в домене. В случае, где пароль локального adminstrator является тем же в целой сети и хеше, сохраненном в SAM (файл) одного из компьютеров, поставлен под угрозу, можно получить доступ к любой рабочей станции, которую он хочет, не будучи в домене или быть определенным.
Как я могу обнаружить удаленный вход в систему локального adminstrator?Спасибо за помощь.
Проверьте журнал безопасности в журнале событий Windows. Здесь регистрируются все события входа в систему. Используйте поиск (или фильтр) для поиска событий указанных учетных записей.