Windows

如何找到發送關機命令的電腦的IP地址?

  • February 2, 2016

我是一所學校的系統管理員。我們在一個域中有一個有 20 台 PC 的教室,所有 PC 都使用同一個使用者登錄。

有時學生使用shutdown 命令關閉其他學生的PC。

在被關閉的 PC 的系統事件日誌中,我可以找到 ID 為 1074 的事件。問題是它只顯示了使用者的名稱,這對於所有 20 台 PC 都是相同的。因此,我正在尋找發送命令的 PC 的 IP 地址或電腦名稱,以便辨識學生。

有什麼建議麼?或者有什麼其他方法可以查出是誰幹的?

謝謝!

將我的評論/想法轉化為答案。

看來你已經給了所有的學生:

  • 對所有電腦的管理控制。
  • 通過允許他們所有人共享相同的管理員帳戶來實現匿名。

這可能是典型教室環境中的次優配置。

儘管您聲稱學生不是電腦的管理員,但預設情況下,只有管理員組有權從遠端系統強制關閉電腦。檢查適用的本地安全策略或組策略中的使用者權限分配類別:

使用者權限分配

現在,為了更直接地回答您的問題,目前電腦上可能沒有足夠的法醫證據來確定發出關機命令的電腦。可以啟用更多日誌記錄以允許您在將來擷取這些事件,但現在啟用此類日誌記錄不會幫助您了解過去發生的事情。具體來說,我認為對您有幫助的日誌記錄在 Advanced Audit Policy 部分(這些只是範例,並非詳盡列表)

  • 審計 RPC 事件
  • 審核過濾平台連接(Windows 防火牆)

遠端關閉使用 RPC,所以這肯定會顯示*一些東西。*當 Windows 防火牆允許入站連接時進行日誌記錄絕對會給您一個 IP 地址。您將能夠關聯這些事件。

以下是配置高級審核策略的分步指南:

https://technet.microsoft.com/en-us/library/dd408940%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

編輯:更新以確認從 Windows 8.1 開始,事件日誌實際上確實包含啟動關機的遠端系統的 IP 地址。(預設情況下,無需啟用任何其他日誌記錄。)但我不知道舊版本的 Windows 是否包含 IP 地址。

遠端關機

引用自:https://serverfault.com/questions/753435