Registre o nome de usuário de quem reinicia um serviço

Você está correto. Visualizador de Eventos > Na guia Sistema, o Gerenciador de Controle de Serviços não registra mais quem inicia e interrompe um Serviço. Você verá apenas uma mensagem como O serviço Estação de Trabalho entrou no estado de execução. mas nada sobre o que o usuário / processo / serviço fez com que ele fosse iniciado.

Para auditar quem está iniciando e interrompendo serviços no Windows Server 2008 e posterior, você precisará fazer algum trabalho manual, conforme detalhado aqui:

• IT Pro Hoje, Randy Franklin Smith, 2002-04-16, Acesso negado: auditando usuários que possam estar iniciando e interrompendo serviços (arquivados aqui .

Este é o método que usei para auditar quem está iniciando e interrompendo serviços em servidores críticos. Abaixo estão os passos a seguir para auditar o serviço desejado em um servidor Windows. Por favor, consulte o link para informações adicionais.

To reach the security templates, log on to the server and open the Microsoft Management Console (MMC) Security Templates snap-in. To create a new template, right-click on the security templates path. Select New Template, click System Services, then double-click the appropriate service (i.e., Telnet). Select the Define this policy setting in the template check box, then click Edit Security to open the Security for Telnet dialog box that Figure 1 shows. This dialog box contains the service's ACL, which you can use to fine-tune who has start and stop authority. (For more information about permission to start and stop services, see "Troubleshooting problems with the Start, stop and pause permission," March 2002, InstantDoc ID 23964.)

Click Advanced, then select the Auditing tab in the Access Control Settings for Telnet dialog box, which Figure 2 shows. As you can see, no auditing is currently enabled on the Telnet service because auditing isn't enabled by default. Click Add, then add an entry to track successful start and stop events that members of Everyone initiate, as Figure 3 shows. Close all the dialog boxes, then save the template. Import the template into the MMC Security Configuration and Analysis snap-in, then apply the template. Now, you can check the Security log for event ID 560 (success audit: object open), where Object Type is SERVICE OBJECT, the Object Name is the short name of the service you're monitoring (in the case of the Telnet Service, TlntSvr), and the logged accesses include Start the service and Stop the service. In the example that Figure 4 shows, you can see that Joe stopped the Telnet service.

Se você tiver um domínio do Active Directory, poderá fazer isso com a política de grupo de domínio:

1. Crie um GPO e aplique-o ao servidor em questão.
2. Edite-o, vá para Computer Policies > Windows Settings > Security Settings > System Services > whatever service (você precisa especificar o serviço e não pode aplicá-lo muito facilmente a todos serviços)
3. Defina esta configuração de política e escolha o modo de inicialização apropriado (para o que for, por padrão). Clique em Editar segurança , Avançado , guia Auditoria
4. Adicione entradas de auditoria para cobrir os usuários e as ações que você deseja registrar.
5. Não tenho certeza se você também precisa ativar qualquer coisa em Computer Policies > Windows Settings > Security Settings > Local Policies > Audit Policy - não encontrei nenhuma documentação adequada de uma forma ou de outra, mas sei que, se você estiver configurando a auditoria em arquivos, por exemplo, precisará ativar o objeto Auditoria de acesso, senão não funciona.

As ações nos serviços devem ser registradas no log de eventos de segurança no servidor.