Когда выполнение команды «Завершение работы - m \pc name» на панели управления завершено, она создает журнал событий на ПК Windows «Завершение работы». Есть ли способ обойти журнал событий, показывающий, кто удаленно выполнил команду?
-2
1 ответ
1
wevtutil cl может очистить определенный журнал событий. Чтобы использовать его в удаленной системе, вам нужно использовать что-то вроде PsExec. Вам также необходимо очистить журнал в небольшом временном окне между shutdown командой выключения и фактическим выключением системы.
Однако при очистке журнала событий создается новое событие в системном журнале. Это событие говорит, какой журнал был очищен и кто это сделал. Конечно, пользователь, скорее всего, будет отображаться как SYSTEM если вы используете PsExec, но событие определенно вызовет удивление у любого, кто смотрит. Если это происходит несколько раз, я уверен, что владелец целевой машины настроит какую-либо форму аудита, чтобы поймать вас.
Я не могу представить себе вескую причину сделать это, особенно учитывая, что вы также уничтожите потенциально важные журналы в процессе. Не делай ничего, о чем ты пожалеешь.