Ako zistiť, ktorý proces zastavil alebo spustil služby Windows

Zastavenie alebo zakázanie služby Windows(Windows Service) nie je veľmi bežné, ale občas sa to môže stať. Najväčším problémom je, že neexistuje spôsob, ako zistiť, ktorý proces(Process) zastavil alebo aktualizoval služby systému Windows(Windows Services) v systéme Windows 10(Windows 10) . To je miesto, kde potrebujete program, ktorý dokáže auditovať takéto služby. Je to užitočné pri vlastných službách, ktoré sú náchylnejšie na tieto problémy. Windows Service Auditor je bezplatný program, ktorý vám umožňuje sledovať takéto služby. Auditor služby Windows(Windows Service Auditor) vám povie, ktorý proces sa zastavil, spustil, odstránil alebo aktualizoval služby (Services)Windows . Bude uchovávať záznamy o používateľovi, čase a procese, ktorý vykonal akúkoľvek zmenu.

Zistite(Find) , ktorý proces zastavil alebo spustil služby (Services)Windows

Windows Service Auditor je bezplatná prenosná aplikácia, ktorá vám umožňuje vykonávať podrobný audit. Môže tiež skúmať denníky udalostí systému Windows(Windows Event Logs) , aby poskytol lepší prehľad. Systém Windows ponúka niektoré nástroje, ale bežnému spotrebiteľovi nepomáhajú. Nástroje ako Event Viewer a AuditPol poskytujú detailný pohľad, ale nie sú užitočné. Na pochopenie a odladenie týchto problémov musíte byť odborníkom.

Funkcie Windows Service Auditor

  • Pracuje s počítačmi domény, lokálnymi a globálnymi zásadami auditu
  • Sledujte, ktorý program zastavil alebo odstránil službu Windows(Windows Service)
  • Kedy bola služba spustená a kedy začala
  • Akákoľvek chyba pri spustení služieb

Ako používať Windows Service Auditor

Keďže ide o monitorovaciu službu, nemôže robiť všetko sama. Budete si musieť vybrať, ktorá služba sa má sledovať. Spolu s tým môžete v prípade potreby zastaviť a spustiť služby. Tu je návod, ako používať auditovanie nastavenia služby.

1] Úvodné nastavenie

Proces zastavený Služby systému Windows

Je to prenosná aplikácia, takže si ju stiahnite a uložte na miesto, odkiaľ sa neodstráni. Nezabudnite ho tiež nastaviť tak, aby sa spúšťal pri spustení počítača, aby auditu nechýbalo sledovanie. Spustite aplikáciu a zobrazia sa dve časti – zoznam služieb systému (Services)Windows a denníky udalostí(Event) . Neskôr sa zobrazí každý denník udalostí pripojený k vybranej službe.

2 ] Povoliť pokročilý bezpečnostný audit(] Enable Advanced Security Auditing)

Systém Windows(Windows) nesleduje niektoré pokročilé funkcie ako predvolené nastavenia. Na zachytenie podrobností budete musieť povoliť pokročilý bezpečnostný audit. Dobrá vec je, že pomocou nástroja Windows Service Auditor ; môžete ho ihneď povoliť.

Kliknite(Click) na ponuku Aplikácia(Application) a potom vyberte „Povoliť politiku lokálneho auditu“. Táto možnosť je v predvolenom nastavení automaticky povolená, ale ak ju chcete zakázať, toto je ponuka, do ktorej musíte vstúpiť. Ak to povolíte, systém Windows(Windows) bude teraz monitorovať auditovanie na základe nasledujúceho

  • Prístup k iným objektom
  • Manipulácia s rukoväťou
  • Rozšírenie bezpečnostného systému

3] Monitorujte službu

Monitorujte zmeny v službe Windows

Posledným krokom je vybrať službu a potom kliknúť na ikonu „Oko“ v hornej ponuke, aby ste ju začali monitorovať. Po aktivácii si všimnite ikonu „Oko“ vedľa služby, ktorá je monitorovaná. Vyberte ho a podrobnosti nájdete v sekcii Udalosti. Bude obsahovať všetky zmeny vykonané programom alebo používateľom spolu s časovou pečiatkou. Neexistuje spôsob, ako ho povoliť pre viacero služieb a nebude fungovať pre všetky služby, ale iba pre tie, ktoré nie sú pod kontrolou systému. Vďaka zavedenej politike auditu bude systém Windows(Windows) zaznamenávať podrobné udalosti auditu vždy, keď sa niekto pokúsi spustiť, zastaviť alebo aktualizovať vašu službu.

Môžete tiež povoliť audit pre ktorúkoľvek službu pomocou možnosti ponuky dostupnej pod službami.

povoliť auditovanie pokročilých služieb systému Windows

Ako funguje nástroj Windows Service Auditor(Windows Service Auditor) na počítačoch s doménou(Domain)

Aj keď ho môžete povoliť na akomkoľvek počítači, ktorý je súčasťou domény, má to jednu nevýhodu. Všetky zmeny vykonané nástrojom Windows Service Auditor budú prepísané pri najbližšom obnovení politiky serverom. Ak chcete povoliť pokročilý audit , budete musieť znova manuálne aktualizovať Globálnu politiku auditu. (Global Audit Policy)Spoločnosť Microsoft(Microsoft)podrobnú dokumentáciu(detailed documentation) o tom, ako môžete aktualizovať globálnu politiku(Policy) auditu .

Rovnako ako pri úprave miestnej politiky(Policy) budete musieť nakonfigurovať systém na auditovanie udalostí v položkách Prístup k iným objektom(Object Access)Manipulácia(Handle Manipulation) s manipuláciou a  Rozšírenie bezpečnostného systému(Security System Extension) . Je k dispozícii v časti Nastavenia zabezpečenia(Security Settings) .

Stiahnite si ho z oficiálnej stránky(official page) .

Dúfam, že sa vám príspevok dal ľahko sledovať a podarilo sa vám povoliť rozšírený audit zabezpečenia(Advanced Security Auditing ) pre služby Windows v systéme Windows 10.



Melinda Balogová

About the author

Som Windows MVP a pracujem s Windows od roku 2007. Moje skúsenosti zahŕňajú vývoj softvéru, hardvéru a zvuku a aplikácií pre Windows. Vždy hľadám najlepšie spôsoby, ako zlepšiť používateľskú skúsenosť pri mojej práci, takže ak potrebujete pomôcť s návrhom alebo vývojom softvérovej aplikácie, určite môžem ponúknuť svoje služby.


Related posts