কিভাবে উইন্ডোজ অডিট পরিষেবা বন্ধ করা হয়েছে তা দেখুন?

1

আমি উইন্ডোজ সুরক্ষা লগগুলিতে এমন কিছু সন্ধান করছি যা আমাকে বলবে যে নিরীক্ষণ অক্ষম করা হয়েছে কিনা - এই ধারণাটি যে কেউ যদি তাদের ক্রিয়াকলাপটি গোপন করতে চায় তবে তারা নিরীক্ষার লগটি বন্ধ করে দেবে, তারা যা চায় তাই করবে এবং তারপরে এটি আবার চালু করুন।

আমি জানি যে একটি উইন্ডোজ সুরক্ষা ইভেন্ট রয়েছে "1100: ইভেন্ট লগিং পরিষেবাটি বন্ধ হয়ে গেছে" যা শাটডাউনের সময় সাধারণত ঘটে থাকে, তবে কেউ এটি বন্ধ করে দিলে লগ হয় না বলে মনে হয়। উইন্ডোজ সার্ভার 2003 এর সমতুল্যও নেই।

সুরক্ষা লগগুলিতে (বা সিস্টেম লগগুলি) কোনও ইভেন্ট কোড রয়েছে, যে আমাকে বলবে যে যখন কেউ ম্যানুয়ালি অডিটিং বন্ধ করে দিয়েছে?

কোন সাহায্য প্রশংসা করা হবে।

windows  security 
কে। ডো
সূত্র

উত্তর:

0

অডিটিং বন্ধ হওয়ার পরে ইভেন্ট আইডিটি কী সনাক্ত করে?

আপনি 4719 সন্ধান করছেন: সিস্টেম অডিট নীতি পরিবর্তন করা হয়েছিল:

"অডিট নীতি পরিবর্তন" উপ-বিভাগের সেটিংস নির্বিশেষে কোনও অডিট নীতি অক্ষম করা থাকলে এই ইভেন্টটি সর্বদা লগ থাকে is এই ট্র্যাকগুলি কভার করার জন্য কেউ যখন অডিটিং অক্ষম করার চেষ্টা করে তখন এটি এবং অন্যান্য বেশ কয়েকটি ইভেন্ট সনাক্ত করতে সহায়তা করতে পারে

4719: সিস্টেম অডিট নীতি পরিবর্তন করা হয়েছিল

  • এই কম্পিউটারের সিস্টেম স্তরের নিরীক্ষণ নীতিটি স্থানীয় সুরক্ষা নীতি, সক্রিয় ডিরেক্টরিতে গ্রুপ নীতি অথবা অডিপোল কমান্ডের মাধ্যমে সংশোধিত হয়েছিল was

  • মাইক্রোসফ্টের মতে, "অডিট নীতি পরিবর্তন" সাব-ক্যাটাগরির সেটিং নির্বিশেষে কোনও অডিট নীতি অক্ষম করা থাকলে এই ইভেন্টটি সর্বদা লগ থাকে। এই ট্র্যাকগুলি কভার করার জন্য কেউ যখন অডিটিং অক্ষম করার চেষ্টা করে তখন এটি এবং অন্যান্য বেশ কয়েকটি ইভেন্ট সনাক্ত করতে সহায়তা করতে পারে।

  • গ্রুপ নীতি যদি নিরীক্ষণ নীতিটি কনফিগার করতে ব্যবহৃত হত দুর্ভাগ্যক্রমে সাবজেক্ট ক্ষেত্রগুলি চিহ্নিত করে না কে প্রকৃতপক্ষে নীতি পরিবর্তন করেছে। এই জাতীয় ইভেন্টগুলি সর্বদা স্থানীয় কম্পিউটারটিকে কম্পিউটার হিসাবে দেখায় যে নীতি পরিবর্তন করেছে যেহেতু কম্পিউটারটি সেই সুরক্ষা অধ্যক্ষ, যার অধীনে gpupdate চলমান।

  • অডিটপল যদি নিরীক্ষণ নীতিটি কনফিগার করতে ব্যবহৃত হয় তবে সাবজেক্ট: এ ব্যবহারকারীকে সঠিকভাবে প্রতিফলিত করবে।

বিষয় :

নীতি পরিবর্তন করে এমন ব্যবহারকারীর আইডি এবং লগন সেশন - সর্বদা স্থানীয় সিস্টেম - উপরে নোট দেখুন।

  • সুরক্ষা আইডি: অ্যাকাউন্টের এসআইডি।
  • অ্যাকাউন্টের নাম: অ্যাকাউন্ট লগনের নাম।
  • অ্যাকাউন্ট ডোমেন: ডোমেন বা - স্থানীয় অ্যাকাউন্টগুলির ক্ষেত্রে - কম্পিউটারের নাম।
  • লগন আইডি একটি আধা-অনন্য (রিবুটগুলির মধ্যে স্বতন্ত্র) নম্বর যা লগন সেশনটি সনাক্ত করে। লগন আইডি আপনাকে লগনের ইভেন্টের (4624) পাশাপাশি একই লগনের সেশনের সময় লগইন করা অন্যান্য ইভেন্টের সাথে পিছনের দিকের সম্পর্ক স্থাপন করতে দেয়।

ইভেন্টের বিভাগ এবং উপশ্রেণীর সম্পূর্ণ তালিকার জন্য নীচের উত্সের লিঙ্কটি দেখুন।

উত্স 4719: সিস্টেম অডিট নীতি পরিবর্তন করা হয়েছিল

আরও পড়া

ডেভিডপস্টিল
সূত্র
ধন্যবাদ, এটি আমার প্রয়োজন ইভেন্টের মতো দেখাচ্ছে। কেবল সমস্যাটি হ'ল এটি আমার ইভেন্ট লগে প্রদর্শিত হবে বলে মনে হয় না। আমি "নিরীক্ষণ নীতি পরিবর্তনগুলি" ট্র্যাক করছি, সুতরাং কেন এটি সুরক্ষা ইভেন্টগুলিতে প্রদর্শিত হচ্ছে না তা আমি নিশ্চিত নই। এই ইভেন্টটি দেখতে শুরু করার জন্য আমাকে অন্য কিছু কনফিগার করতে হবে?
কে। দো
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.