Я почти уверен, что ответ на мой вопрос — простое «Нет», но я все равно попробую. (И простое «Нет» тоже помогло бы мне.)
У нас есть общий компьютер. Люди могут пользоваться им как хотят, но они не будут делать ничего, кроме как гуглить или отправлять письма.
Сегодня кто-то запустил пакетный файл, вынул USB-накопитель и ушел.
Никакого ущерба не нанесено. Мне просто интересно, есть ли способ посмотреть, что было в этом пакетном файле. Если это простой исходный код или просто "он МОГ сделать эти вещи", не имеет значения.
Может быть, Windows ведет какой-то отслеживание? Но я никогда этого не видел. Учетная запись пользователя — это доменная учетная запись из Windows Server 2003. Может быть, эта ведет отслеживание?
Есть ли способ узнать, какие пакетные файлы были недавно выполнены?
Windows 7
Intel-based
User account is accessed over domain
Hasn't been shut down since then
решение1
Windows не ведет подробные журналы о том, какие приложения были запущены и кем. Вы можете настроить аудит объектов файловой системы, а журнал безопасности отслеживает события входа и использование привилегий. Но журнал безопасности не содержит информации, которую вы ищете, и аудит должен был быть настроен заранее.
Даже если бы у вас был настроен аудит, Windows не сохранила бы копию BAT-файла, чтобы вы могли с ней ознакомиться, поэтому вы все равно не узнали бы наверняка, что именно он сделал.
Если вас беспокоит такая активность в будущем, я бы рекомендовал вам использовать групповую политику для внесения в белый список определенных приложений, которые пользователям разрешено запускать на этой машине. Если это слишком ограничительно, то по крайней мере заблокируйте выполнение скриптов и доступ к командной строке. Это должно помешать пользователям запускать скрипты с расширениями вроде .bat, .cmd, .vbs, .js и т. д.