Descobrir quem ativou o firewall

1

Estou tentando descobrir qual processo ou usuário mudou o firewall de desativado para ativado .

Então eu emiti uma consulta para o LogParser:

SELECT 
      timegenerated, 
      EXTRACT_TOKEN(Strings,1,'|') AS Domain, 
      EXTRACT_TOKEN(Strings,0,'|') AS User, 
      EXTRACT_TOKEN(Strings,3,'|') AS SessionName,
      EXTRACT_TOKEN(Strings,4,'|') AS ClientName,
      EXTRACT_TOKEN(Strings,5,'|') AS ClientAddress,
      EventID
FROM Security 
WHERE timegenerated > '2014-02-18 18:30:00' AND timegenerated < '2014-02-18 18:32:50'
ORDER BY timegenerated DESC

E eu pude ver a seguinte linha (entre muitas outras):

timegenerated   Domain  User    SessionName ClientName  ClientAddress EventID
2014-02-18 18:30:07 Enable Windows Firewall Domain  NULL    NULL    NULL    4950

Não diz muito. O que devo fazer para descobrir o usuário ou processo que ativou o firewall? Este usuário pode estar se conectando remotamente ou ele pode ser local.

BTW. Esta informação do logparser já não existe ... Eu deveria ter salvado.

Edit # 1, 19-02-2014, 07:20 UTC:

Eu fui ao visualizador de eventos. De lá, no menu / árvore esquerda, cliquei em: Applications and Services Logs - > Microsoft - > Windows - > Windows Firewall With Advanced Security - > Firewall .

E então eu pude ver que um usuário (aqui, referido como UserNameFooBar ) ativou o firewall:

A Windows Firewall setting in the Domain profile has changed.
New Setting:
    Type:   Enable Windows Firewall
    Value:  No
    Modifying User: DomainName\UserNameFooBar
    Modifying Application:  C:\Windows\explorer.exe

Foi registrado em 2/18/2014 6:30:07.

Mas como posso saber se:

  1. Esse usuário é um usuário do sistema (significa que o Windows usou esse usuário para executar a ação)?
  2. Este usuário está conectado local ou remotamente?
por Dor 18.02.2014 / 19:40

0 respostas