Como / É possível monitorar scripts WMI remoto?
-
10-07-2019 - |
Pergunta
fazer u sei, talvez uma maneira (via script ou programa) para descobrir se, por exemplo, a WMI é executado script de um PC1 remoto e executa algumas tarefas no outro PC2 quando estou sentando em um terceiro PC: PC3
Suponha que todos os PC pertencem à mesma rede e de domínio e tiver o Windows XP instalado.
A razão para isto que eu administrar uma rede pequena e eu acho que um estudante desliga o PC onde outro estudante obras, através de scripts WMI.
Existe uma maneira para monitor (via script ou programa) tal coisa, sem desabilitar o acesso remoto WMI.
Obrigado a todos
Solução
Você pode obter as credenciais usadas para executar o desligamento olhando detalhado registos WMI.
1) Ative o log detalhado WMI
- Run 'Wmimgmt.msc' (também disponível em Meu Computador> 'Gerenciar'> 'Serviços e Aplicações'> 'WMI Control')
- Selecione 'Controle WMI (Local)', clique direito -> selecione 'Propriedades'
- Selecione 'Logging' Tab, set 'Nível de registo' para verboso
2) Olhe para os arquivos de log WMI (Local padrão:% windir% \ system32 \ wbemLogs) para ver registro de acesso remoto e as medidas tomadas. Especificamente, olhe para Wbemcore.log
Exemplo: Quando eu entrei remotamente vi a seguinte entrada [<domain>
e <username>
aqui foram os reais usados ??para a conexão remota]:
(Thu Aug 13 <time>) : DCOM connection from <domain>\<username>
at authentiction level Packet, AuthnSvc = 9, AuthzSvc = 1, Capabilities = 0
Em seguida, executar o método WMI o estudante precisaria GetObject Win32_OperatingSystem, que mostrou-se assim:
(Thu Aug 13 <time>): CALL CWbemNamespace::GetObject
BSTR ObjectPath = win32_operatingsystem
long lFlags = 0
E, finalmente, você olharia para executar o método Win32Shutdown, que deve registrar algo como isto:
(Thu Aug 13 <time>) : CALL CWbemNamespace::ExecMethodAsync
BSTR ObjectPath = Win32_OperatingSystem
BSTR MethodName = Win32Shutdown