Próbowałem znaleźć błędy i odkryłem dwie usługi, które powinny być automatic
ustawione na disabled
.
Jaki jest najlepszy sposób, aby dowiedzieć się, kto to zrobił? Może to być ktoś z mojej firmy lub ktoś po stronie klienta. Wystarczy ustalić konto użytkownika.
Zajrzałem do podglądu zdarzeń Windows, ale szczerze mówiąc, nie jestem pewien, czego szukam i jest wiele do zrobienia. Nic mnie nie wyskoczyło, ale podejrzewam, że po prostu nie wiem, czego szukam.
windows-server-2008
service
eventviewer
Paul Brindley
źródło
źródło
Odpowiedzi:
Po zmianie typu początkowego usługi zdarzenie jest rejestrowane w dzienniku zdarzeń systemowych o identyfikatorze 7040 i źródłowym menedżerze sterowania usługami .
Użytkownik, który wykonał operację, jest wyświetlany w zdarzeniu (zaciemniony na zrzucie ekranu poniżej).
Musisz więc znaleźć te zdarzenia w swoich dziennikach zdarzeń; mam nadzieję, że bezpośrednio będziesz miał nazwę użytkownika.
Jeśli jest to ogólna nazwa użytkownika, taka jak „administrator”, nadszedł czas, aby przestać używać konta ogólnego, a będziesz musiał skorelować datę / godzinę zdarzenia z innymi informacjami, które możesz uzyskać z innego dziennika (np .: Microsoft -Windows-TerminalServices-LocalSessionManager / Operational, który może podać źródłowy adres IP sesji pulpitu zdalnego)
źródło
W Podglądzie zdarzeń spójrz na dzienniki zdarzeń „Windows Logs” -> „System” i odfiltruj źródło „Service Control Manager” i identyfikator zdarzenia 7040. Znajdź zdarzenie z napisem „Typ uruchomienia usługi został zmieniony z pierwotnego typu uruchomienia wyłączone ”dla usługi, którą jesteś zainteresowany. Gdy to zauważysz,„ Użytkownik ”wymieniony w szczegółach poniżej to użytkownik, który dokonał tej zmiany.
źródło