integridad de inicio de sesión de usuario de Windows Vista

5

¿Es posible eliminar algunos o todos los registros de fecha y hora de inicio de sesión de usuario de Windows Vista? ¿Existe algún mecanismo para darme la confianza de que los registros individuales no se eliminan, incluso si no hay una llamada de API pública para esa acción?

    
pregunta trapsed 16.09.2012 - 14:15
fuente

2 respuestas

2

Puede borrar un registro de eventos completo, pero no entradas individuales.

Si es un administrador en la máquina, puede ingresar al Visor de eventos y borrar el registro de seguridad, haciendo clic con el botón derecho en Propiedades y luego haciendo clic en Borrar registro. Esto eliminará todos los registros y luego agregará una entrada que indique la hora y la ID de usuario que borraron el registro.

Tenga en cuenta que este no destruye necesariamente todos los rastros de los registros de seguridad, ya que aún pueden existir remanentes del evento de inicio de sesión en otros registros de eventos y archivos de registro. Además, en los sistemas que pertenecen a un dominio, los registros de inicio de sesión se pueden almacenar en el servidor de directorio activo, así como en la máquina local.

Por ejemplo, los siguientes registros generalmente contienen evidencia duplicada de inicios de sesión, eventos de inicio u otra actividad que se puede vincular a un nombre de usuario:

  • Aplicaciones y Servicios »Microsoft» Windows
    • TerminalServices-LocalSessionManager »Operacional
    • PrintService »Admin
    • ReadyBoost »Operacional
    • Servicio de perfiles de usuario »Operacional
    • Experiencia de aplicación »Programa-Telemetría
    • Experiencia de aplicación »Asistente de compatibilidad de programas
    • Diagnóstico programado »Operativo
    • Diagnosis-Scripted »Operacional
    • Diagnosis-Scripted »Admin
  • Windows Logs »Aplicación
    • Filtre por User != SYSTEM y User != N/A , luego ordene por tiempo. Fácil de detectar eventos que se correlacionan con tiempos específicos.
respondido por el Polynomial 24.09.2012 - 15:26
fuente
1

Técnicamente no es posible eliminar eventos individuales dentro del EventLog. Al menos, no conozco una API conocida públicamente que haga esto dentro de la llamada EventLog. Existe un método "Borrar" que elimina todas las entradas, no solo las específicas.

Todo lo que podemos hacer es filtrar los registros.

    
respondido por el Metahuman 23.09.2012 - 09:29
fuente

Lea otras preguntas en las etiquetas