我是学校的系统管理员。我们教室里有 20 台 PC,它们都属于同一个域,所有 PC 都使用同一个用户登录。
有时学生会使用关机命令来关闭其他学生的电脑。
在关闭的 PC 的系统事件日志中,我可以找到 ID 为 1074 的事件。问题是它只显示了用户的名称,而这 20 台 PC 的名称都相同。因此,我正在寻找发送命令的 PC 的 IP 地址或计算机名称,以便识别学生。
有什么建议吗?或者还有其他方法可以找出是谁干的?
谢谢!
答案1
将我的评论/想法转化为答案。
看来你已经给了所有学生:
- 对所有计算机进行管理控制。
- 通过允许他们共享同一个管理员帐户来实现匿名。
在典型的课堂环境中,这可能是次优的配置。
尽管您声称学生不是计算机上的管理员,但默认情况下,只有管理员组才有权从远程系统强制关闭计算机。检查适用的本地安全策略或组策略中的用户权限分配类别:
现在,更直接地回答你的问题,目前计算机上可能没有足够的取证证据来确定关机命令是从哪台计算机发出的。可以启用更多日志记录,以便将来捕获这些事件,但现在启用此类日志记录不会帮助您找出过去发生的事情。具体来说,我认为可以帮助您的日志记录位于高级审计策略部分(这些只是示例,而不是详尽的列表)
- 审计 RPC 事件
- 审计过滤平台连接(Windows 防火墙)
远程关机使用 RPC,因此肯定会显示某物。当 Windows 防火墙允许入站连接时,记录肯定会为您提供 IP 地址。您将能够关联事件。
以下是配置高级审计策略的分步指南:
https://technet.microsoft.com/en-us/library/dd408940%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396
编辑:更新以确认自 Windows 8.1 起,事件日志确实包含启动关机的远程系统的 IP 地址。(默认情况下,无需启用任何其他日志记录。)但我不知道旧版本的 Windows 是否包含 IP 地址。
