Estoy bastante seguro de que la respuesta a mi pregunta es un simple "No", pero lo intentaré de todos modos. (Y un rotundo No también me ayudaría).
Tenemos una computadora compartida. La gente puede usarlo como lo hace, pero no hará más que buscar en Google o enviar correos electrónicos.
Hoy alguien ejecutó un archivo por lotes, sacó su memoria USB y se fue.
No se ha producido ningún daño. Solo tengo curiosidad por saber si hay alguna manera de ver qué hay en este archivo por lotes. Si se trata de un código fuente simple o simplemente "PUEDE haber hecho estas cosas", no importa.
¿Quizás Windows mantiene algún seguimiento? Pero nunca vi esto. La cuenta de usuario es una cuenta de dominio de Windows Server 2003. ¿Quizás ésta sigue rastreando?
¿Hay alguna manera de saber qué archivos por lotes se han ejecutado recientemente?
Windows 7
Intel-based
User account is accessed over domain
Hasn't been shut down since then
Respuesta1
Windows no mantiene registros detallados sobre qué aplicaciones se ejecutaron y quién las ejecutó. Puede configurar la auditoría de los objetos del sistema de archivos y el registro de seguridad rastrea los eventos de inicio de sesión y el uso de privilegios. Pero el registro de seguridad no contiene la información que está buscando y la auditoría debería haberse configurado de antemano.
Incluso si hubiera configurado la auditoría, Windows no habría guardado una copia del archivo BAT para que usted pudiera verlo, por lo que aún no sabría exactamente qué hizo.
Si le preocupa dicha actividad en el futuro, le recomendaría que utilice la Política de grupo para incluir en la lista blanca aplicaciones específicas que los usuarios pueden ejecutar en esta máquina. Si eso es demasiado restrictivo, al menos bloquee la ejecución del script y el acceso a la línea de comandos. Eso debería evitar que los usuarios ejecuten scripts con extensiones como .bat, .cmd, .vbs, .js, etc.