我pipe理的是一个大型的企业环境,虽然我们试图build议用户不要这样做,但是不可避免的是,用户需要有本地pipe理员访问他们的机器。 问题是这些用户中的一些喜欢“捣鼓”,有时甚至用“精彩”的方式搞砸他们的机器。 有一种简单的方法来logging用户在计算机上做什么,特别是在命令提示符下? 也许有第三方工具可以用来logging这些信息?
对于过去我使用过的Linux,您可以查看一个用户bash历史文件来查看他们运行的命令。 虽然我意识到如果用户想要覆盖他们的轨道,也可以改变特定的日志,这就是我正在寻找的日志。
如果还有其他方法,我也可以logging其他系统configurationtypes更改(不一定以命令行为基础),这也是有用的。 我知道事件/系统日志等等,但是这并不一定能捕捉到我需要的所有信息,以便弄清楚这次用户是如何编写机器的。
使用PowerShell加WMI事件检测进程创build(和退出)是相当容易的。 然后在logging之前过滤(大量)。
可以对文件系统和registry操作都进行审计(这是每个对象上的系统ACL一旦全局启用),操作将被写入系统事件日志。 这将产生大量的数据(即使审计的内容相当有限)。
不过,我认为如果您的目标是防止摆弄,您可能会采取另一种更好的方法。 当然,这些机制都可以被本地pipe理员绕过(当然任何审计机制也是如此)。
最好考虑为什么他们需要本地pipe理员访问:他们真的需要它,或者它是一些破碎的应用程序? (对于后者,据我所知,兼容性垫片通常可以解决问题)。
最后可能是告诉他们: 大国有很大的责任 。
你可以使用键盘logging器(确保AV软件有一个例外),但这真是一个人为的pipe理问题,而不是技术问题。 我的build议是采取任何已经摆弄的系统来解决问题,并简单地对其进行重新成像。 犯罪分子越是不便,他们就会越早学习。