Apagado remoto.

Question

wevtutil clpuede borrar un registro de eventos específico. Para usarlo en un sistema remoto, necesitarás emplear algo como PsExec. También tendría que borrar el registro en el pequeño período de tiempo entre la shutdownemisión del comando y el cierre del sistema.

Sin embargo, el acto de borrar un registro de eventos genera un nuevo evento en el registro del sistema. Ese evento dice qué registro se borró y quién lo hizo. Por supuesto, el usuario probablemente aparecerá como SYSTEMsi estuviera usando PsExec, pero el evento definitivamente llamará la atención de cualquiera que esté mirando. Si esto sucede varias veces, estoy seguro de que el propietario de la máquina objetivo configurará algún tipo de auditoría para detectarlo.

No puedo imaginar ninguna buena razón para hacer esto, especialmente considerando que también borrarás registros posiblemente importantes en el proceso. No hagas nada de lo que te arrepientas.

Answer 1

wevtutil clpuede borrar un registro de eventos específico. Para usarlo en un sistema remoto, necesitarás emplear algo como PsExec. También tendría que borrar el registro en el pequeño período de tiempo entre la shutdownemisión del comando y el cierre del sistema.

Sin embargo, el acto de borrar un registro de eventos genera un nuevo evento en el registro del sistema. Ese evento dice qué registro se borró y quién lo hizo. Por supuesto, el usuario probablemente aparecerá como SYSTEMsi estuviera usando PsExec, pero el evento definitivamente llamará la atención de cualquiera que esté mirando. Si esto sucede varias veces, estoy seguro de que el propietario de la máquina objetivo configurará algún tipo de auditoría para detectarlo.

No puedo imaginar ninguna buena razón para hacer esto, especialmente considerando que también borrarás registros posiblemente importantes en el proceso. No hagas nada de lo que te arrepientas.

Apagado remoto.

Respuesta1

información relacionada