Когда выполнение команды Shutdown - m \pc name в панели управления завершено, она создает журнал событий на компьютере Windows для Shutdown. Есть ли способ обойти журнал событий, показывающий, кто удаленно выполнил команду?
решение1
wevtutil clможет очистить определенный журнал событий. Чтобы использовать его на удаленной системе, вам нужно будет использовать что-то вроде PsExec. Вам также придется очистить журнал в небольшом временном окне между shutdownвыдачей команды и фактическим выключением системы.
Однако процесс очистки журнала событий создает новое событие в системном журнале. Это событие сообщает, какой журнал был очищен и кто это сделал. Конечно, пользователь, скорее всего, будет выглядеть так, как SYSTEMбудто вы используете PsExec, но событие определенно вызовет удивление у любого, кто наблюдает. Если это произойдет несколько раз, я уверен, что владелец целевой машины настроит какую-то форму аудита, чтобы поймать вас.
Я не могу представить себе ни одной веской причины для этого, особенно учитывая, что вы также уничтожите потенциально важные журналы в процессе. Не делайте ничего, о чем пожалеете.