我很确定我的问题的答案是简单的“否”,但我还是会尝试一下。(简单的“否”也会对我有帮助。)
我们有一台公用的电脑。人们可以随意使用它,但他们不会做太多事情,只会用谷歌搜索或发送邮件。
今天有人执行了一个批处理文件,拔下了他的 USB 驱动器然后走了。
没有造成任何损害。我只是好奇是否有办法查看这个批处理文件中的内容。如果这是纯源代码或只是“它可能做了这些事情”,则无关紧要。
也许 Windows 会进行一些跟踪?但我从未看到过这种情况。该用户帐户是 Windows Server 2003 的域帐户。也许这个帐户会进行跟踪?
有没有办法找出最近执行了哪些批处理文件?
Windows 7
Intel-based
User account is accessed over domain
Hasn't been shut down since then
答案1
Windows 不会保留有关运行了哪些应用程序以及由谁运行的详细日志。您可以设置对文件系统对象的审核,并且安全日志会跟踪登录事件和特权使用情况。但是安全日志不包含您要查找的信息,并且必须事先设置审核。
即使您设置了审核,Windows 也不会保留 BAT 文件的副本供您查看,因此您仍然不知道它到底做了什么。
如果您担心将来会出现此类活动,我建议您使用组策略将允许用户在此计算机上运行的特定应用程序列入白名单。如果这太严格,那么至少阻止脚本执行和命令行访问。这应该可以防止用户运行带有 .bat、.cmd、.vbs、.js 等扩展名的脚本。