Como / É possível monitorar scripts WMI remoto?

Question

fazer u sei, talvez uma maneira (via script ou programa) para descobrir se, por exemplo, a WMI é executado script de um PC1 remoto e executa algumas tarefas no outro PC2 quando estou sentando em um terceiro PC: PC3

Suponha que todos os PC pertencem à mesma rede e de domínio e tiver o Windows XP instalado.

A razão para isto que eu administrar uma rede pequena e eu acho que um estudante desliga o PC onde outro estudante obras, através de scripts WMI.

Existe uma maneira para monitor (via script ou programa) tal coisa, sem desabilitar o acesso remoto WMI.

Obrigado a todos

Answer 1

Você pode obter as credenciais usadas para executar o desligamento olhando detalhado registos WMI.

1) Ative o log detalhado WMI

• Run 'Wmimgmt.msc' (também disponível em Meu Computador> 'Gerenciar'> 'Serviços e Aplicações'> 'WMI Control')
• Selecione 'Controle WMI (Local)', clique direito -> selecione 'Propriedades'
• Selecione 'Logging' Tab, set 'Nível de registo' para verboso

2) Olhe para os arquivos de log WMI (Local padrão:% windir% \ system32 \ wbemLogs) para ver registro de acesso remoto e as medidas tomadas. Especificamente, olhe para Wbemcore.log

Exemplo: Quando eu entrei remotamente vi a seguinte entrada [<domain> e <username> aqui foram os reais usados ??para a conexão remota]:

(Thu Aug 13 <time>) : DCOM connection from <domain>\<username> 
at authentiction level Packet, AuthnSvc = 9, AuthzSvc = 1, Capabilities = 0

Em seguida, executar o método WMI o estudante precisaria GetObject Win32_OperatingSystem, que mostrou-se assim:

(Thu Aug 13 <time>): CALL CWbemNamespace::GetObject
   BSTR ObjectPath = win32_operatingsystem
   long lFlags = 0

E, finalmente, você olharia para executar o método Win32Shutdown, que deve registrar algo como isto:

(Thu Aug 13 <time>) : CALL CWbemNamespace::ExecMethodAsync
   BSTR ObjectPath = Win32_OperatingSystem
   BSTR MethodName = Win32Shutdown