Опишу ситуацию - есть сетка, имеется в ней контроллер домена (певичный и резервный), а также сервер mssql (на отдельной банке win2k3, также входящей в домен). Саму сетку я уже хакнул, есть пассы всех юзверей домена и domain admin'a. В инет доступ идет еще через один виндовый серв. Доступ к сетке имею либо днем из интранета, либо в любое время суток можно подцепляться по vpn'у через инет. Собссно сразу несколько вопросов к гуру-камрадам: 1) как незаметно подправить несколько записей в базе? Пишутся ли все изменения, да и вообще хотя бы чтение базы в лог, можно ли его подчистить от своих действий, не удаляя полностью, после того как сделаешь что хочешь? 2) Логгируются ли куда бы то ни было подключения к серваку по vpn (pptp банальное)? Также не могли бы вы поделиться как мне GRE-туннель прокинуть сквозь прокси или дать какой-нить бесплатный шелл с которого можно кидать тоннели до хоста. 3) Да, вот еще один вопрос - логгируются ли куда-нить заходы на сервак по нетбиосу (а-ля \\server)? Т.е. может ли админ посмареть под каким логином с какого ip в такое-то время подключались к шарам (в частности c$, d$ и т.д.) Ну. пока вроде все... Буду рад вашим ответам, заранее спасибо =) И если можете, то подскажите как еще можно спалиться на этом деле...
Вообще в Ad должен вестись лог удалённого доступа. На скока я помню по умолчанию он включен. В ивенте в разделе Безопасность остаются логи успешной/отклоненной авторизации Ra и доступа к ресурсам домена.