Como encontrar o endereço IP do pc que enviou um comando shutdown?

Navegue suas respostas
3

Sou administrador de sistemas em uma escola. Temos uma sala de aula com 20 PCs em um domínio e todos os computadores usam o mesmo usuário para fazer o login.

Às vezes, os alunos usam o comando shutdown para desligar os computadores de outros alunos.

No log de eventos do sistema do PC que foi encerrado, posso encontrar o evento com o ID 1074. O problema é que diz apenas o nome do usuário, que é o mesmo para todos os 20 PCs. Então, estou procurando o endereço IP ou o nome do computador do PC que enviou o comando, para que eu possa identificar o aluno.

Alguma sugestão? Ou alguma outra maneira de descobrir quem fez isso?

Obrigado!

    
por Johan Claes 02.02.2016 / 12:16

1 resposta

3

Convertendo meus comentários / pensamentos em uma resposta.

Parece que você deu a todos os alunos:

  • Controle administrativo sobre todos os computadores.
  • Anonimato, permitindo que todos compartilhem a mesma conta de administrador.

Esta é provavelmente uma configuração abaixo do ideal em uma sala de aula típica.

Embora você afirme que os alunos não são administradores nos computadores, por padrão, somente o grupo Administradores tem o direito de forçar o desligamento de um computador a partir de um sistema remoto. Verifique a categoria Atribuição de Direitos do Usuário em sua política de segurança local ou Diretiva de Grupo aplicável:

Agora,pararespondermaisdiretamenteàsuapergunta,provavelmentenãoháevidênciasforensessuficientesnocomputadorparadeterminardequalcomputadorocomandodedesligamentofoiemitido.Épossívelhabilitarmaisregistrosquepermitiriamcapturaresseseventosnofuturo,mashabilitaresseregistroagoranãoajudaráadescobriroqueaconteceunopassado.Especificamente,ologemqueestoupensandoqueteriaajudadovocêestánaseçãoPolíticadeAuditoriaAvançada(sãoapenasexemplos,nãoumalistaexaustiva)

  • AuditareventosRPC
  • Conexõesdaplataformadefiltragemdeauditoria(FirewalldoWindows)

OdesligamentoremotousaoRPC,oquecertamentemostraráalgo.EoregistroquandooFirewalldoWindowspermiteumaconexãodeentradalhedaráabsolutamenteumendereçoIP.Vocêseriacapazdecorrelacionaroseventos.

EsteéumguiapassoapassosobrecomoconfiguraraPolíticadeauditoriaavançada:

link

Editar : Atualizando para confirmar que, a partir do Windows 8.1, o log de eventos inclui o endereço IP do sistema remoto que iniciou o desligamento. (Por padrão, sem precisar ativar nenhum log adicional). Mas eu não sei se versões mais antigas do Windows incluem o endereço IP ou não.

    
por 02.02.2016 / 16:05

Tags

Protege o diretório Nginx recursivamente O que significa “modo compartilhado” em um DRAC de servidor Dell de nona geração e posterior?