Frage Erfahren Sie, wer einen Windows-Dienst deaktiviert hat


Ich habe eine Fehlersuche durchgeführt und zwei Dienste gefunden, auf die festgelegt werden sollte automatic wurden festgelegt auf disabled.

Was ist der beste Weg herauszufinden, wer das getan hat? Es könnte jemand von meiner Firma sein, oder es könnte jemand clientseitig sein. Es würde ausreichen, das Benutzerkonto zu bestimmen.

Ich habe einen Blick in die Windows-Ereignisanzeige geworfen, aber um ehrlich zu sein, bin ich mir nicht sicher, wonach ich suche, und es gibt eine Menge durchzuarbeiten. Nichts ist auf mich gesprungen, aber ich vermute nur, dass ich nicht weiß, wonach ich suche.


28
2018-06-12 11:50


Ursprung


Danke an diejenigen, die mir hilfreiche Antworten gegeben haben. Finde heraus wer es war. Auch stellte sich heraus, dass sie diese aus einem guten Grund abgestellt haben und nach der von mir untersuchten Angelegenheit stattfand. Zurück zu den Programmprotokolldateien für mehr Leads! - Paul Brindley
Für zukünftige Leser (da Sie das offensichtlich nicht sind, Paul): Stellen Sie nur fest, dass das Zuweisen von Schuldzuweisungen normalerweise nicht sinnvoll ist. Es ist in Ordnung, diese Informationen zu verwenden, um herauszufinden, wen Sie Fragen stellen können, um herauszufinden, was vor sich geht, und ihnen vielleicht zu sagen, warum es eine schlechte Idee ist, aber vermeiden Sie dies als Entschuldigung, jemanden zu bedrohen oder zu misshandeln. - jpmc26
In diesem Fall wollte ich es wissen, weil wir den Dienst verwalten, aber der Server gehört dem Client und so wäre es nützlich zu wissen, ob wir versagt haben oder ob das Serverteam des Clients etwas geändert hat. Außerdem wollte ich sicherstellen, dass es in Ordnung war, sie wieder einzuschalten, nachdem ich angenommen hatte, dass es ein Fehler war, aber es gab möglicherweise einen guten Grund, warum dieser Dienst die Verarbeitung von Dateien stoppen sollte. Am Ende war die Antwort ja, sie migrierten eine Datenbank, so dass der Dienst ausgeschaltet war, während die Datenbank nicht verfügbar war. Aber sie haben vergessen, es wieder anzustellen, als sie fertig waren. - Paul Brindley


Antworten:


Wenn der Starttyp eines Service geändert wird, wird ein Ereignis in der Systemereignisprotokoll mit ID 7040 und Quelle Dienststeuerungs-Manager.

Der Benutzer, der die Operation ausgeführt hat, wird im Ereignis angezeigt (in der folgenden Abbildung verschleiert). enter image description here

Sie müssen diese Ereignisse in Ihren Ereignisprotokollen finden. Hoffentlich haben Sie direkt den Benutzernamen.

Wenn es sich um einen generischen Benutzernamen wie "Administrator" handelt, ist es an der Zeit, die Verwendung des generischen Kontos zu beenden und das Datum / die Uhrzeit des Ereignisses mit anderen Informationen zu korrelieren, die Sie aus einem anderen Protokoll erhalten könnten (z. B. Microsoft) -Windows-TerminalServices-LocalSessionManager / Operational, das Ihnen die Quell-IP einer Remote-Desktop-Sitzung geben kann


37
2018-06-12 12:14





Suchen Sie in der Ereignisanzeige im Ereignisprotokoll "Windows-Protokolle" -> "System" und filtern Sie nach Quelle "Service Control Manager" und Ereignis-ID 7040. Suchen Sie das Ereignis "Der Starttyp der Bedienung wurde von geändert ursprünglicher Starttyp Behinderte "für die Bedienung Sie sind daran interessiert. Wenn Sie das finden, ist der "Benutzer", der in den folgenden Details aufgeführt ist, der Benutzer, der diese Änderung vorgenommen hat.


11
2018-06-12 12:12