Назад | Перейти на главную страницу

Регистрировать имя пользователя того, кто перезапускает службу

Я ищу простой способ зарегистрировать имя пользователя того, кто перезапускает службу на сервере. Это было возможно в 2003 году, но я не вижу возможности в 2008 и 2012 годах.

Вы правы. Просмотр событий> вкладка Система диспетчер управления службами больше не регистрирует, кто запускает и останавливает службу. Вы увидите только сообщение типа Служба рабочей станции перешла в рабочее состояние. но ничего о том, какой пользователь / процесс / сервис вызвал его запуск.

Чтобы проверить, кто запускает и останавливает службы в Windows Server 2008 и более поздних версиях, вам необходимо выполнить некоторую ручную работу, как описано здесь:

Это метод, который я использовал для проверки того, кто запускает и останавливает службы на важных серверах. Ниже приведены шаги, которые необходимо предпринять для аудита желаемой службы на сервере Windows. Пожалуйста, перейдите по ссылке для получения дополнительной информации.

Чтобы получить доступ к шаблонам безопасности, войдите на сервер и откройте оснастку «Шаблоны безопасности» консоли управления Microsoft (MMC). Чтобы создать новый шаблон, щелкните правой кнопкой мыши путь к шаблонам безопасности. Выберите «Новый шаблон», нажмите «Системные службы», затем дважды щелкните соответствующую службу (например, Telnet). Установите флажок Define this policy setting в шаблоне, затем нажмите Edit Security, чтобы открыть диалоговое окно Security for Telnet, показанное на экране 1. Это диалоговое окно содержит список управления доступом к службе, который можно использовать для точной настройки лиц, имеющих права запуска и остановки. (Дополнительные сведения о разрешении на запуск и остановку служб см. В разделе «Устранение проблем с разрешениями на запуск, остановку и приостановку», март 2002 г., InstantDoc ID 23964.)

Нажмите Advanced, затем выберите вкладку Auditing в диалоговом окне Access Control Settings for Telnet, как показано на экране 2. Как видите, в настоящее время в службе Telnet не включен аудит, поскольку аудит по умолчанию не включен. Щелкните Add, затем добавьте запись для отслеживания успешных событий запуска и остановки, инициируемых участниками Everyone, как показано на экране 3. Закройте все диалоговые окна, затем сохраните шаблон. Импортируйте шаблон в оснастку MMC Security Configuration and Analysis, затем примените шаблон. Теперь вы можете проверить журнал безопасности на наличие события с идентификатором 560 (успешный аудит: объект открыт), где Тип объекта - ОБЪЕКТ СЛУЖБЫ, Имя объекта - это краткое имя службы, которую вы отслеживаете (в случае службы Telnet, TlntSvr), а зарегистрированные доступы включают Запуск службы и Остановка службы. В примере, показанном на экране 4, вы можете увидеть, что Джо остановил службу Telnet.

Если у вас есть домен Active Directory, вы можете сделать это с помощью групповой политики домена:

  1. Создайте объект групповой политики и примените его к соответствующему серверу.
  2. Отредактируйте его, перейдите в Computer Policies > Windows Settings > Security Settings > System Services > whatever service (вам нужно указать службу, и это не очень просто применить к все Сервисы)
  3. Определите этот параметр политики и выберите подходящий режим запуска (какой он есть по умолчанию). Нажмите Изменить безопасность, Продвинутый, Аудиторская проверка вкладка
  4. Добавьте записи аудита, чтобы охватить пользователей и действия, которые вы хотите регистрировать.
  5. Я не уверен, нужно ли вам дополнительно включать что-нибудь под Computer Policies > Windows Settings > Security Settings > Local Policies > Audit Policy - Я так или иначе не нашел подходящей документации, но знаю, что если вы устанавливаете аудит, например, для файлов, вам нужно включить аудит доступа к объектам, иначе это не сработает.

Затем действия со службами должны регистрироваться в журнале событий безопасности на сервере.