大佬教程收集整理的这篇文章主要介绍了windows – 如何查找发送shutdown命令的pc的ip地址?,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
有时学生使用shutdown命令关闭其他学生的PC.
在已关闭的PC的系统事件日志中,我可以找到ID为1074的事件.
问题是它只说了用户的名字,对于所有20台PC来说都是一样的.所以我正在寻找发送命令的PC的IP地址或计算机名称,@R_264_9447@识别学生.
有什么建议?或者以其他方式找出是谁做的?
谢谢!
看来你已经给了所有的学生:
>对所有计算机的管理控制.
>匿名,允许他们共享相同的管理员帐户.
这可能是典型教室环境中的次优配置.
虽然您声称学生不是计算机上的管理员,但默认情况下,只有Administrators组才有权强制从远程系统关闭计算机.检查适用的本地安全策略或组策略中的“用户权限分配”类别:
现在,为了更直接地回答您的问题,现在计算机上可能没有足够的取证证据来确定发出关机命令的计算机.可以启用更多日志记录,以便将来捕获这些事件,但现在启用此类日志记录将无法帮助您了解过去发生的情况.具体来说,我正在考虑的日志记录可以帮助您进入高级审计策略部分(这些只是示例,而不是详尽的列表)
>审核RPC事件
>审核筛选平台连接(Windows防火墙)
远程关闭使用RPC,所以肯定会显示一些东西.当Windows防火墙允许入站连接时进行日志记录绝对会为您提供IP地址.您可以关联事件.
以下是配置高级审核策略的分步指南:
https://technet.microsoft.com/en-us/library/dd408940%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396
编辑:更新以确认从Windows 8.1开始,事件日志实际上包括启动关闭的远程系统的IP地址. (默认情况下,无需启用任何其他日志记录.)但我不知道Windows的旧版本是否包含IP地址.
以上是大佬教程为你收集整理的windows – 如何查找发送shutdown命令的pc的ip地址?全部内容,希望文章能够帮你解决windows – 如何查找发送shutdown命令的pc的ip地址?所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。