我正在寻找一种简单的方法来记录重新启动服务器上服务的人的用户名。这在 2003 年是可能的,但我看不出在 2008 年和 2012 年可能实现。
答案1
你说得对。事件查看器 > 系统选项卡服务控制管理器不再记录谁启动和停止了服务。你只会看到类似这样的消息Workstation服务进入运行状态。但没有关于哪个用户/进程/服务导致它启动的信息。
要审核谁在 Windows Server 2008 及更高版本中启动和停止服务,您需要执行一些手动工作,如下所述:
- 当今 IT 专业人士,兰迪·富兰克林·史密斯,2002 年 4 月 16 日,拒绝访问:审核可能启动和停止服务的用户(存档这里。
这是我用来审核谁在关键服务器上启动和停止服务的方法。以下是在 Windows Server 上审核所需服务的步骤。请参阅链接以获取更多信息。
要访问安全模板,请登录到服务器并打开 Microsoft 管理控制台 (MMC) 安全模板管理单元。要创建新模板,请右键单击安全模板路径。选择“新模板”,单击“系统服务”,然后双击相应的服务(即 Telnet)。选中“在模板中定义此策略设置”复选框,然后单击“编辑安全性”以打开图 1 所示的“Telnet 安全性”对话框。此对话框包含服务的 ACL,您可以使用它来微调谁有启动和停止权限。(有关启动和停止服务权限的更多信息,请参阅“解决启动、停止和暂停权限问题”,2002 年 3 月,InstantDoc ID 23964。)
单击“高级”,然后在“Telnet 的访问控制设置”对话框中选择“审核”选项卡,如图 2 所示。如您所见,目前 Telnet 服务上未启用任何审核,因为默认情况下未启用审核。单击“添加”,然后添加一个条目来跟踪 Everyone 成员发起的成功启动和停止事件,如图 3 所示。关闭所有对话框,然后保存模板。将模板导入 MMC 安全配置和分析管理单元,然后应用模板。现在,您可以检查安全日志中的事件 ID 560(成功审核:对象打开),其中对象类型为服务对象,对象名称是您正在监视的服务的简称(对于 Telnet 服务,为 TlntSvr),记录的访问包括启动服务和停止服务。在图 4 显示的示例中,您可以看到 Joe 停止了 Telnet 服务。
答案2
如果您有一个 Active Directory 域,则可以使用域组策略执行此操作:
- 制作一个 GPO 并将其应用到相关服务器。
- 编辑它,转到
Computer Policies > Windows Settings > Security Settings > System Services > whatever service
(您需要指定服务,并且不能很容易地将其应用于全部服务) - 定义此策略设置并选择适当的启动模式(默认为任意模式)。点击编辑安全性,先进的,审计标签
- 添加审计条目以涵盖您想要记录的用户和操作。
- 我不确定您是否还需要启用任何内容
Computer Policies > Windows Settings > Security Settings > Local Policies > Audit Policy
- 我没有找到任何适当的文档,但知道如果您正在设置文件审核,例如,您需要启用对象访问审核,否则它不起作用。
然后,应将对服务的操作记录在服务器上的安全事件日志中。