Existe uma maneira de ver o que um arquivo de lote executado fez?

0

Tenho certeza que a resposta para minha pergunta é um simples "não", mas vou tentar de qualquer maneira. (E um simples No me ajudaria também.)

Nós temos um computador compartilhado. As pessoas podem usá-lo como fazem, mas não farão mais do que pesquisar no Google ou enviar e-mails.

Hoje alguém executou um arquivo em lote, retirou seu pendrive e foi embora.

Não há danos causados. Estou curioso para saber se existe uma maneira de ver o que está nesse arquivo em lote. Se este é o código-fonte simples ou apenas "pode ​​ter feito essas coisas" não importa.

Talvez o Windows mantenha algum rastreamento? Mas eu nunca vi isso. A conta de usuário é uma conta de domínio de um Windows Server 2003. Talvez esta continue rastreando?

Existe uma maneira de descobrir quais arquivos em lote foram executados recentemente?

Windows 7
Intel-based
User account is accessed over domain
Hasn't been shut down since then
windows-7  batch-file  windows-server-2003 
Trollwut
fonte
A questão é ampla. O arquivo em lotes é apenas uma lista de comandos do shell. Esses comandos poderiam ter sido qualquer coisa. Dependendo do conteúdo do arquivo em lotes, os comandos que foram executados podem ou não ter sido registrados em algum lugar no log do sistema. No entanto, eu não sei o caminho para rastreá-lo de volta para o arquivo de lote real
Art Gertner
1
Como você suspeitava, a resposta neste caso é de fato Não.
Karan
Existem programas como "monitor de processos" e programas de desinstalação, mas se você não fez os preparativos antes da execução do arquivo de lote, então não.
barlop

Respostas:

3

O Windows não mantém logs detalhados sobre quais aplicativos foram executados e por quem. Você pode configurar a auditoria em objetos do sistema de arquivos e o log de segurança rastreia eventos de logon e uso de privilégios. Mas o log de segurança não contém as informações que você está procurando e a auditoria teria que ter sido configurada de antemão.

Mesmo se você tivesse uma auditoria configurada, o Windows não teria mantido uma cópia do arquivo BAT para você ver, então você ainda não saberia exatamente o que fazia.

Se estiver preocupado com essa atividade no futuro, recomendo que você use a Política de Grupo para colocar na lista de permissões aplicativos específicos que os usuários podem executar nesta máquina. Se isso for muito restritivo, pelo menos bloqueie a execução do script e o acesso à linha de comando. Isso deve impedir que os usuários executem scripts com extensões como .bat, .cmd, .vbs, .js etc.

Wes Sayeed
fonte
Isso é o que eu pensava também, pois não sabia como reproduzir isso. Bem, pelo menos isso me ajudou muito, obrigado por isso! :)
Trollwut
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.