it-swarm.com.de

Finden Sie heraus, wer einen Windows-Dienst deaktiviert hat

Ich habe einige Fehler gefunden und festgestellt, dass zwei Dienste, die auf automatic gesetzt werden sollten, auf disabled gesetzt wurden.

Was ist der beste Weg, um herauszufinden, wer das getan hat? Es könnte jemand aus meiner Firma sein, oder es könnte jemand auf Kundenseite sein. Es würde ausreichen, das Benutzerkonto zu bestimmen.

Ich habe in der Windows-Ereignisanzeige nachgesehen, bin mir aber ehrlich gesagt nicht sicher, wonach ich suche, und es gibt viel zu tun. Mir ist nichts aufgefallen, aber ich vermute, ich weiß nur nicht, wonach ich suche.

29
Paul Brindley

Wenn der Starttyp eines Dienstes geändert wird, wird ein Ereignis im Systemereignisprotokoll mit der ID 7040 aufgezeichnet und Quelle Service Control Manager .

Der Benutzer, der die Operation ausgeführt hat, wird im Ereignis angezeigt (im folgenden Screenshot verschleiert). (enter image description here

Sie müssen diese Ereignisse also in Ihren Ereignisprotokollen finden. hoffentlich haben Sie direkt den Benutzernamen.

Wenn es sich um einen generischen Benutzernamen handelt, z. B. "Administrator", ist es an der Zeit, die Verwendung eines generischen Kontos einzustellen, und Sie müssen das Datum und die Uhrzeit des Ereignisses mit anderen Informationen korrelieren, die Sie aus einem anderen Protokoll erhalten können (z. B. Microsoft) -Windows-TerminalServices-LocalSessionManager/Operational, mit dem Sie die Quell-IP einer Remotedesktopsitzung erhalten können)

40
JFL

Suchen Sie in der Ereignisanzeige im Ereignisprotokoll "Windows-Protokolle" -> "System" nach der Quelle "Service Control Manager" und der Ereignis-ID 7040. Suchen Sie das Ereignis mit der Aufschrift "Der Starttyp des Dienstes = wurde für den Dienst, an dem Sie interessiert sind, von rsprünglicher Starttyp in deaktiviert "geändert. Wenn Sie dies feststellen, ist der in den folgenden Details aufgeführte" Benutzer "der Benutzer das hat diese Änderung vorgenommen.

11
Pak