我有 Windows Server 2019。它是内部网环境中的数据库服务器(MSSQL Server)。我监控其进程,发现有时下面的进程会无缘无故地自动运行。
“C:\Windows\system32\cmd.exe”/c“net 本地组管理员”“net 本地组管理员”
我检查了我的用户列表和组列表,但没有看到任何新用户。我不知道为什么 net.exe 会使用此命令来创建新的本地管理员帐户。我该如何检查其根本原因,是否有任何解决方案可以找到 net.exe 活动日志?
答案1
查看事件 ID 4688每当进程启动时,Windows 都会记录该事件。此链接还解释了如何在系统上配置审核,以确保实际记录该事件。
这肯定有点可疑,但首先查看显示诸如父 PID 之类的内容的事件,以便您可以看到哪个进程实际启动了该进程。