Я управляю крупной корпоративной средой, и, хотя мы стараемся не советовать пользователям этого делать, неизбежно существуют пользователи, которым требуется доступ локального администратора к своим машинам. Проблема в том, что некоторые из этих пользователей любят «возиться», а иногда и «чудесно» портят свои машины. Есть ли простой способ регистрировать действия пользователя на машине, в частности, в командной строке? Может быть, есть сторонние инструменты, которые я мог бы использовать для регистрации этой информации?
В Linux, который я использовал в прошлом, вы могли посмотреть в файле истории bash пользователей, чтобы узнать, какие команды они выполняли. Хотя я понимаю, что конкретный журнал также может быть изменен пользователем, если он хочет замести следы, я ищу именно такой журнал.
Если есть другие способы, я также могу регистрировать, какие другие изменения типа конфигурации системы они также вносят (не обязательно на основе командной строки), что также полезно. Я знаю о журналах событий / системных журналах и так далее, но это не обязательно улавливает всю информацию, которая мне нужна, чтобы выяснить, как на этот раз пользователь испортил свою машину.
Вы можете использовать кейлоггер (убедитесь, что в программном обеспечении AV есть исключение), но на самом деле это проблема управления человеком, а не техническая. Я бы посоветовал довести любую систему, с которой до этого работали, до точки, вызывающей проблему, и просто воспроизвести ее заново. Чем неудобнее будет виноватому, тем раньше он узнает.
Довольно просто использовать PowerShell плюс событие WMI для обнаружения создания (и выхода) процесса. Затем отфильтруйте (сильно) перед регистрацией.
Можно проводить аудит операций как файловой системы, так и реестра (это то, что системный ACL для каждого объекта является единожды глобально включенным), операции будут записаны в журнал системных событий. Это будет генерировать много данных (даже если то, что проверяется, довольно ограничено).
Однако я думаю, что вам может быть лучше использовать другой подход, если ваша цель - предотвратить возня. Конечно, все эти механизмы могут быть обойдены локальным администратором (и, конечно же, любой механизм аудита).
Лучше подумать, зачем им нужен доступ локального администратора: действительно ли он им нужен или это какое-то неработающее приложение? (Что касается последнего, насколько я понимаю, прокладки совместимости часто могут решить проблему).
В конце концов, можно было бы сказать им: с большой властью приходит большая ответственность.