Incident Response, Security and Forensics"

.

jueves, 2 de octubre de 2008

Controlar los inicios y cierres de sesión de los usuarios

Una forma muy comoda de registrar los inicios de sesión de un servidor o puesto de trabajo sin necesidad de activar el servicio de auditoría sería utilizando un metodo alternativo el cual nos dejara un log , el cual sera mas practico que mirar el visor de eventos

Creando los archivos mágicos

registrar_inicio.cmd
echo logon %username% %computername% %date% %time% >> \\controlador\carpeta\registrar_inicio.log

registrar_logoff.cmd
echo logoff %username% %computername% %date% %time% >> \\controlador\carpeta\registrar_logoff.log

A continuación ponemos estos dos archivos en la Default Domain Policy por ejemplo para que se ejecuten al inicio y cierre de sesion

User Configuration-> Windows Settings-> Scripts (Logon/Logoff)-> Logon
User Configuration-> Windows Settings-> Scripts (Logon/Logoff)-> Logoff

Como resultado veremos nuestros dos archivos, los cuales son bastante mas facil de consultar.

logon mspedro WKS_S1 Tue 22/09/2008 10:39:51.12
logon Rosa WKS_S2 Tue 22/09/2008 10:42:01.07

logoff mspedro
WKS_S1 Tue 22/02/2005 10:41:08.45
logoff
Rosa WKS_S2 Tue 22/02/2005 10:42:46.81

2 comentarios:

Nosotros Pedro usamos el bginfo que es una aplicación de sysinternals y guardamos los logs de los usuarios en una base de datos access, es parecido al proceso que comentas, es una aplicación sencilla de usar y la verdad es que funciona muy bien. Ya he visto a varias empresas que la utilizan para registrar los logs de sus usuarios.

Tomo buena nota de ello.

Gracias

Pedro