Я почти уверен, что ответом на мой вопрос будет простое "Нет", но я все равно попробую. (И простое Нет, мне тоже поможет.)

У нас есть общий компьютер. Люди могут использовать это, как они, но они не будут делать больше, чем Googling или отправка писем.

Сегодня кто-то запустил пакетный файл, снял флешку и ушел.

Там нет никакого ущерба. Мне просто любопытно, есть ли способ увидеть, что было в этом командном файле. Если это простой исходный код или просто "это МОЖЕТ сделать эти вещи", не имеет значения.

Может быть, Windows продолжает отслеживать? Но я этого никогда не видел. Учетная запись пользователя является учетной записью домена из Windows Server 2003. Может быть, этот продолжает отслеживать?

Есть ли способ узнать, какие пакетные файлы недавно были выполнены?

Windows 7
Intel-based
User account is accessed over domain
Hasn't been shut down since then

1 ответ1

3

Windows не ведет подробные журналы о том, какие приложения были запущены и кем. Вы можете настроить аудит объектов файловой системы, и журнал безопасности отслеживает события входа и использование привилегий. Но журнал безопасности не содержит информацию, которую вы ищете, и аудит должен был бы быть установлен заранее.

Даже если бы у вас был настроен аудит, Windows не сохранила бы копию BAT-файла, чтобы вы могли на нее посмотреть, так что вы все равно не будете точно знать, что именно он сделал.

Если вы обеспокоены такими действиями в будущем, я бы порекомендовал вам использовать групповую политику для внесения в белый список определенных приложений, которые пользователям разрешено запускать на этом компьютере. Если это слишком ограничительно, то по крайней мере заблокируйте выполнение скрипта и доступ к командной строке. Это должно помешать пользователям запускать скрипты с такими расширениями, как .bat, .cmd, .vbs, .js и т.д.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .