我很確定我的問題的答案很簡單“不”,但無論如何我都會嘗試。 (一個簡單的「不」也會對我有幫助。)
我們有一台共用電腦。人們可能會像他們那樣使用它,但他們除了谷歌搜尋或發送郵件之外不會做更多的事情。
今天,有人執行了一個批次文件,拔掉他的 U 盤就走了。
沒有造成任何損壞。我只是好奇是否有辦法查看這個批次檔中的內容。如果這是簡單的原始程式碼或只是「它可能做了這些事情」並不重要。
也許 Windows 會保留一些追蹤?但我從未見過這個。該使用者帳戶是 Windows Server 2003 的網域帳戶。
有沒有辦法找出最近執行過哪些批次檔?
Windows 7
Intel-based
User account is accessed over domain
Hasn't been shut down since then
答案1
Windows 不會保留有關執行哪些應用程式以及由誰執行的詳細日誌。您可以對檔案系統物件設定審核,安全性日誌會追蹤登入事件和權限使用。但安全日誌不包含您正在尋找的信息,並且必須事先設定審核。
即使您設定了審核,Windows 也不會保留 BAT 檔案的副本供您查看,因此您仍然不知道它到底做了什麼。
如果您擔心將來出現此類活動,我建議您使用群組原則將允許使用者在此電腦上執行的特定應用程式列入白名單。如果這限制太多,那麼至少阻止腳本執行和命令列存取。這應該可以防止用戶執行帶有 .bat、.cmd、.vbs、.js 等擴展名的腳本。