Integrazione di accesso utente di Windows Vista

5

È possibile cancellare alcuni o tutti i record datetime di accesso sessione utente da Windows Vista? C'è qualche meccanismo che mi dia fiducia che i singoli record non vengano cancellati anche se non esiste una chiamata API pubblica per quell'azione?

    
posta trapsed 16.09.2012 - 14:15
fonte

2 risposte

2

È possibile cancellare un intero registro eventi, ma non singole voci.

Se sei un amministratore sulla macchina, puoi andare in Event Viewer e cancellare il registro di sicurezza, facendo clic con il tasto destro su di esso e andando in Proprietà, quindi facendo clic su Cancella registro. Ciò rimuoverà tutti i registri, quindi aggiungerà una voce che indica l'ora e l'ID utente che ha cancellato il registro.

Tenere presente che questo non necessariamente distrugge tutte le tracce dei registri di sicurezza, poiché i residui dell'evento di accesso possono ancora esistere in altri registri eventi e file di registro. Inoltre, sui sistemi che appartengono a un dominio, i registri di accesso possono essere memorizzati sul server di directory attivo e sul computer locale.

Ad esempio, i seguenti registri di solito contengono prove duplicate di accessi, eventi di avvio o altre attività che possono essere ricondotte a un nome utente:

  • Applicazioni e servizi »Microsoft» Windows
    • TerminalServices-LocalSessionManager »Operativo
    • PrintService »Amministratore
    • ReadyBoost »Operativo
    • Servizio profili utente »Operativo
    • Esperienza applicazione »Telemetria programmi
    • Esperienza applicazione »Assistente compatibilità programmi
    • Diagnosi-Programmata »Operativa
    • Script diagnosticato »Operativo
    • Diagnostica-Scripted »Amministratore
  • Registri di Windows »Applicazione
    • Filtra per User != SYSTEM e User != N/A , quindi ordina per tempo. Facile individuare gli eventi correlati a orari specifici.
risposta data 24.09.2012 - 15:26
fonte
1

Tecnicamente non è possibile eliminare singoli eventi all'interno di EventLog. Almeno, non conosco un'API pubblicamente nota che faccia questo all'interno della chiamata EventLog. Esiste un metodo "Cancella" che rimuove tutte le voci, non solo quelle specifiche.

Tutto quello che possiamo fare è filtrare i log.

    
risposta data 23.09.2012 - 09:29
fonte

Leggi altre domande sui tag