你知道或许是一种方法(通过脚本或程序)来查明是否当我在第三台PC上座位时,WMI脚本从远程PC1运行并在另一台PC2中执行某些任务:PC3
假设所有PC属于同一个网络和域并安装了Windows XP。
之所以我管理一个小型网络,我认为一个学生通过WMI脚本关闭另一个学生工作的PC。
有没有办法监控(通过脚本或程序)这样的事情,而不会禁用wmi远程访问。
谢谢大家
答案 0 :(得分:1)
您可以通过查看详细的WMI日志来获取用于执行关闭的凭据。
1)启用详细的WMI日志记录
2)查看WMI日志文件(默认位置:%WINDIR%\ system32 \ wbemLogs)以查看远程访问记录和所采取的操作。具体来说,看看wbemcore.log
示例:当我远程登录时,我看到以下条目[<domain>和<username>这里是用于远程连接的真实条目]:
(Thu Aug 13 <time>) : DCOM connection from <domain>\<username>
at authentiction level Packet, AuthnSvc = 9, AuthzSvc = 1, Capabilities = 0
然后,要执行WMI方法,学生需要GetObject Win32_OperatingSystem,它显示如下:
(Thu Aug 13 <time>): CALL CWbemNamespace::GetObject
BSTR ObjectPath = win32_operatingsystem
long lFlags = 0
最后你会寻找执行Win32Shutdown方法,它应该记录这样的事情:
(Thu Aug 13 <time>) : CALL CWbemNamespace::ExecMethodAsync
BSTR ObjectPath = Win32_OperatingSystem
BSTR MethodName = Win32Shutdown