내 질문에 대한 대답은 간단하게 "아니오"라고 확신합니다. 하지만 어쨌든 시도해 보겠습니다. (아니오라고 하면 나에게도 도움이 될 것입니다.)
우리는 공유 컴퓨터를 가지고 있습니다. 사람들은 그것을 그대로 사용할 수 있지만 인터넷 검색이나 메일 보내기 이상의 작업을 수행하지는 않습니다.
오늘 누군가가 배치 파일을 실행하고 USB 스틱을 꺼내서 떠났습니다.
피해가 발생하지 않았습니다. 이 배치 파일의 내용을 볼 수 있는 방법이 있는지 궁금합니다. 이것이 일반 소스 코드이거나 단순히 "이러한 작업을 수행했을 수 있습니다"라면 문제가 되지 않습니다.
어쩌면 Windows가 일부 추적을 유지할까요? 그러나 나는 이것을 본 적이 없습니다. 사용자 계정은 Windows Server 2003의 도메인 계정입니다. 이 계정이 계속 추적됩니까?
최근에 어떤 배치 파일이 실행되었는지 확인할 수 있는 방법이 있나요?
Windows 7
Intel-based
User account is accessed over domain
Hasn't been shut down since then
답변1
Windows는 어떤 응용 프로그램을 누가 실행했는지에 대한 자세한 로그를 보관하지 않습니다. 파일 시스템 개체에 대한 감사를 설정할 수 있으며 보안 로그는 로그온 이벤트 및 권한 사용을 추적합니다. 그러나 보안 로그에는 찾고 있는 정보가 포함되어 있지 않으며 감사가 미리 설정되어 있어야 합니다.
감사를 설정했더라도 Windows에서는 사용자가 볼 수 있도록 BAT 파일의 복사본을 보관하지 않았기 때문에 사용자는 여전히 감사가 수행된 작업을 정확히 알 수 없습니다.
향후 이러한 활동이 우려된다면 그룹 정책을 사용하여 사용자가 이 컴퓨터에서 실행할 수 있는 특정 응용 프로그램을 화이트리스트에 추가하는 것이 좋습니다. 너무 제한적이라면 최소한 스크립트 실행과 명령줄 액세스를 차단하세요. 그러면 사용자가 .bat, .cmd, .vbs, .js 등과 같은 확장자를 가진 스크립트를 실행하지 못하게 됩니다.