Wenn der Befehl Shutdown - m \pc name in der Systemsteuerung ausgeführt wird, wird auf dem Windows-PC ein Ereignisprotokoll des Shutdowns erstellt. Gibt es eine Möglichkeit, das Ereignisprotokoll zu umgehen und anzuzeigen, wer den Befehl remote ausgeführt hat?
Antwort1
wevtutil clkann ein bestimmtes Ereignisprotokoll löschen. Um es auf einem Remote-System zu verwenden, müssten Sie etwas wie PsExec verwenden. Sie müssten das Protokoll auch in dem kleinen Zeitfenster zwischen der shutdownAusgabe des Befehls und dem tatsächlichen Herunterfahren des Systems löschen.
Das Löschen eines Ereignisprotokolls erzeugt jedoch ein neues Ereignis im Systemprotokoll. Dieses Ereignis gibt an, welches Protokoll gelöscht wurde und wer dies getan hat. Natürlich wird der Benutzer wahrscheinlich so angezeigt, als SYSTEMob Sie PsExec verwenden, aber das Ereignis wird definitiv die Augenbrauen aller Beobachter hochziehen. Wenn es mehrmals passiert, bin ich sicher, dass der Besitzer der Zielmaschine eine Art Überwachung einrichten wird, um Sie zu erwischen.
Ich kann mir keinen guten Grund dafür vorstellen, insbesondere wenn man bedenkt, dass Sie dabei möglicherweise wichtige Protokolle löschen. Tun Sie nichts, was Sie bereuen werden.