Este artigo da Microsoft pode ajudá-lo a rastrear o evento de desligamento:
Há semanas há alguém na rede da empresa que acha engraçado desligar meu computador remotamente. Tudo o que posso dizer é agradecer a DEUS pela recuperação de arquivos, caso contrário eu já teria perdido 3 projetos de código.
Neste ponto, gostaria de poder rastrear a solicitação de desligamento de volta à sua origem, encerrar a solicitação de desligamento após a execução ou bloquear completamente todas as solicitações recebidas no meu firewall (exceto em aplicativos como o Outlook e navegadores da Web), permitindo que solicitações de saída passem ao mesmo tempo.
Em um estágio há 3 semanas, eu estava convencido de que era um vírus ou algo assim e não consegui encontrar nenhuma infecção, então eu reinstalei meu computador completamente ... O cara que estava me incomodando e, pelo que sei, não o fez novamente (ele ainda é meu principal suspeito, mas não posso provar nada).
Qualquer sugestão será muito apreciada.
Este artigo da Microsoft pode ajudá-lo a rastrear o evento de desligamento:
Sugestões:
Entre em contato com seu departamento de TI.
Se você não tiver um, entre em contato com a empresa de consultoria que você usa para configurar seus computadores.
Se você não tiver um, encontre um bom .
Implemente algum tipo de segurança. Esse cara obviamente tem acesso de administrador à sua máquina. Eu suspeito que você não tem segurança, ou todo mundo é um administrador local do seu computador. Essas são práticas de segurança realmente ruins e, dependendo de quais dados você possui em seu computador, podem ser criminosos negligentes .
Comece tirando todos do seu grupo de administradores locais. Então ele não será capaz de desligar a máquina, mesmo que ele possa enviar a solicitação. Se você precisa de quem quer que esteja no computador para ser um administrador (geralmente por causa de algum aplicativo herdado), adicione o "Usuário Interativo" ao grupo de administração local ; ainda o bloqueia e permite que o administrador local acesse.
Ligue o Firewall do Windows, ele está no Painel de Controle. Na guia exceções, verifique se o compartilhamento de arquivos e impressoras não está ativado. Se você tiver uma pessoa de TI, converse com eles sobre quais configurações são necessárias. O compartilhamento de arquivos e impressão não é normalmente necessário . Se eles realmente não sabem o que estão fazendo, você pode querer apenas desligar se de qualquer maneira, e se eles notarem que está desligado, você pode ligá-lo novamente; mas é muito comum que administradores improvisados tenham sistemas irresponsavelmente abertos para absolutamente nenhum motivo.
Pode muito bem ser um vírus, o seu colega de trabalho pode estar a assediá-lo e a aceitar o crédito. Se você não tiver um bom sistema de atualização e controle de vírus no MS, é provável. Certifique-se de estar completamente atualizado com o Microsoft Update (a menos que as atualizações interrompam algum aplicativo legado). Também tenha certeza de que você está executando um bom anti-vírus. Os gratuitos na rede são bons o suficiente para garantir que você esteja ciente de qualquer problema (embora eu não confie neles para evitar completamente problemas em primeiro lugar). Os bons pacotes AV comerciais são provavelmente menos dispendiosos em comparação com o tempo de inatividade que você já experimentou (se este for um vírus).
Eu acho que existem muitas soluções para esse problema. Em vez de bloquear todas as conexões de entrada, o que provavelmente atrapalhará seu trabalho, tente ver em qual porta ele está se conectando.
Você pode configurar facilmente o Firewall do Windows para criar um arquivo de log para ajudá-lo.
Abra as propriedades da sua Conexão local, clique na guia avançado e clique em configurações. Clique na aba de antecedência lá, então, sob Security Logging, clique em configurações.
Eu registrei os pacotes descartados e as conexões bem-sucedidas e salvei o arquivo na minha área de trabalho. Ele irá atualizar constantemente. Depois que sua máquina for adulterada novamente, você deverá ter algumas informações nesse arquivo de log que o ajudarão.
Quando o problema for resolvido, altere todas as suas senhas e reduza o antivírus. A maioria dos softwares antivírus oferece a possibilidade de definir regras personalizadas para o tráfego de firewall.
Assumindo que sua empresa é grande o suficiente para ter uma, isso precisa ser reportado ao seu departamento de TI imediatamente . Se alguém na sua rede estiver fazendo isso, ele precisará ser interrompido e possivelmente alertado / demitido por abusar de seu privilégio de administrador ou invasão para obter privilégio de administrador que não deveria ter. Também pode ser que a sua máquina tenha encontrado algum código malicioso que esteja fazendo isso em vez de outro ser humano local, caso em que precisa ser corrigido o mais rápido possível.
Tags firewall windows-firewall