Estou tentando descobrir qual processo ou usuário mudou o firewall de desativado para ativado .
Então eu emiti uma consulta para o LogParser:
SELECT
timegenerated,
EXTRACT_TOKEN(Strings,1,'|') AS Domain,
EXTRACT_TOKEN(Strings,0,'|') AS User,
EXTRACT_TOKEN(Strings,3,'|') AS SessionName,
EXTRACT_TOKEN(Strings,4,'|') AS ClientName,
EXTRACT_TOKEN(Strings,5,'|') AS ClientAddress,
EventID
FROM Security
WHERE timegenerated > '2014-02-18 18:30:00' AND timegenerated < '2014-02-18 18:32:50'
ORDER BY timegenerated DESC
E eu pude ver a seguinte linha (entre muitas outras):
timegenerated Domain User SessionName ClientName ClientAddress EventID
2014-02-18 18:30:07 Enable Windows Firewall Domain NULL NULL NULL 4950
Não diz muito. O que devo fazer para descobrir o usuário ou processo que ativou o firewall? Este usuário pode estar se conectando remotamente ou ele pode ser local.
BTW. Esta informação do logparser já não existe ... Eu deveria ter salvado.
Edit # 1, 19-02-2014, 07:20 UTC:
Eu fui ao visualizador de eventos.
De lá, no menu / árvore esquerda, cliquei em: Applications and Services Logs
- > Microsoft
- > Windows
- > Windows Firewall With Advanced Security
- > Firewall
.
E então eu pude ver que um usuário (aqui, referido como UserNameFooBar
) ativou o firewall:
A Windows Firewall setting in the Domain profile has changed.
New Setting:
Type: Enable Windows Firewall
Value: No
Modifying User: DomainName\UserNameFooBar
Modifying Application: C:\Windows\explorer.exe
Foi registrado em 2/18/2014 6:30:07.
Mas como posso saber se: