it-swarm-pt.tech

Descubra quem desativou um serviço do Windows

Eu estava fazendo uma busca por falhas e descobri dois serviços que deveriam ser definidos como automatic foram definidos como disabled.

Qual é a melhor maneira de descobrir quem fez isso? Pode ser alguém da minha empresa ou alguém do lado do cliente. Seria o suficiente para determinar a conta do usuário.

Eu dei uma olhada no Visualizador de Eventos do Windows, mas, para ser sincero, não tenho certeza do que estou procurando e há muito o que trabalhar. Nada saltou para mim, mas suspeito que não sei o que estou procurando.

29
Paul Brindley

Quando o tipo de início de um serviço é alterado, um evento é registrado no log de eventos do sistema , com o ID 7040 e origem Service Control Manager .

O usuário que executou a operação é exibido no evento (ofuscado na captura de tela abaixo). enter image description here

Portanto, você precisa encontrar esses eventos em seus logs de eventos; espero que você tenha diretamente o nome de usuário.

Se for um nome de usuário genérico, como "administrador", é hora de parar de usar uma conta genérica e você precisará correlacionar a data/hora do evento com outras informações que você pode obter de outro log (como: Microsoft -Windows-TerminalServices-LocalSessionManager/Operational, que pode fornecer o IP de origem de uma sessão de área de trabalho remota)

40
JFL

No Visualizador de Eventos, procure no "Logs do Windows" -> "Sistema" e filtre a Origem "Service Control Manager" e a Identificação do Evento 7040. Localize o evento dizendo "O tipo de início do serviço = foi alterado de tipo inicial original para desativado "para o serviço do qual você está interessado. Quando você descobre isso, o" Usuário "listado nos detalhes abaixo é o usuário que fez essa mudança.

11
Pak