找出谁禁用了Windows服务

我正在做一些故障查找,我发现应该设置为automatic两个服务已被设置为disabled

找出是谁做的最好方法是什么? 它可能是我公司的某个人,也可能是某个客户端的人。 确定用户帐户就足够了。

我已经看过Windows事件查看器,但说实话,我不知道我在找什么,还有很多工作要做。 我什么也没有跳出来,但我怀疑这只是我不知道我在找什么。

当服务的启动types改变时,事件被logging在系统事件日志中 ,其中ID为7040和源服务控制pipe理器

执行操作的用户显示在事件中(在下面的屏幕截图中模糊处理)。 在这里输入图像描述

所以你必须在事件日志中find这些事件。 希望你会直接拥有用户名。

如果它是一个通用的用户名,比如“administrator”,那么现在是时候停止使用通用账号了,而且你必须将事件的date/时间与其他日志中可以获得的信息关联起来(比如:Microsoft -Windows-TerminalServices-LocalSessionManager / Operational可以给你一个远程桌面会话的源IP)

在事件查看器中,查看“Windows日志” – >“系统”事件日志,并筛选源“服务控制pipe理器”和事件ID 7040.查找事件说:“服务的启动types已从原始启动types禁用“您所感兴趣的服务 。当您发现这一点时,以下详细信息中列出的”用户“是已经进行了更改的用户。