我管理着一个大型企业环境,虽然我们试图建议用户不要这样做,但不可避免地会有用户需要拥有其计算机的本地管理员访问权限。问题是其中一些用户喜欢“摆弄”他们的计算机,有时会以“奇妙”的方式搞砸他们的计算机。有没有一种简单的方法可以记录用户在计算机上执行的操作,特别是在命令提示符中?也许有第三方工具可以用来记录此信息?
在我过去使用的 Linux 中,您可以查看用户的 bash 历史记录文件,以查看他们运行了哪些命令。虽然我意识到如果用户想要掩盖自己的踪迹,他们也可以更改特定日志,但这正是我要找的那种日志。
如果还有其他方法可以记录他们所做的其他系统配置类型更改(不一定基于命令行),那也很有用。我知道事件/系统日志等,但这不一定能捕捉到我需要的所有信息,以查明用户这次是如何搞砸他们的机器的。
答案1
使用 PowerShell 和 WMI 事件来检测进程创建(和退出)相当容易。然后在记录之前进行(严格)过滤。
文件系统和注册表操作都可以被审计(一旦全局启用,每个对象的系统 ACL 就可用于此目的),操作将被写入系统事件日志。这将生成大量数据(即使审计的内容相当有限)。
但是,如果您的目的是防止篡改,我认为采用不同的方法可能会更好。当然,这些机制都可以被本地管理员绕过(当然,任何审核机制也可以)。
最好考虑一下为什么他们需要本地管理员访问权限:他们真的需要它吗,还是某些应用程序出了问题?(对于后者,据我了解,兼容性垫片通常可以解决问题)。
最后,也许应该告诉他们:拥有权利的同时也被赋予了重大的责任。
答案2
您可以使用键盘记录器(确保 AV 软件有例外),但实际上,这是一个人为管理问题,而不是技术问题。我的建议是,对任何被篡改到导致问题的系统进行简单的重新映像。对罪犯来说越不方便,他们就会越快学会。