Descubra quién deshabilitó un servicio de Windows

29

Estaba buscando algunos fallos y descubrí dos servicios que deberían configurarse para automaticconfigurarse disabled.

¿Cuál es la mejor manera de averiguar quién hizo esto? Podría ser alguien de mi empresa o alguien del lado del cliente. Sería suficiente determinar la cuenta de usuario.

He echado un vistazo en el Visor de eventos de Windows, pero, para ser sincero, no estoy seguro de lo que estoy buscando, y hay mucho por lo que trabajar. Nada me llamó la atención, pero sospecho que es solo que no sé lo que estoy buscando.

Paul Brindley
fuente
77
Gracias a aquellos que me dieron respuestas útiles. Descubrí quién era. También resultó que los apagaron por una buena razón y después del problema que estoy investigando tuvo lugar. Volver a los archivos de registro del programa para más clientes potenciales!
Paul Brindley
44
Para futuros lectores (ya que obviamente no eres tú, Paul): solo date cuenta de que asignar culpas no suele ser algo útil. Está bien usar esta información para averiguar a quién puede hacer preguntas y saber qué está pasando y tal vez decirles por qué es una mala idea, pero evite usar esto como una excusa para amenazar o maltratar a alguien.
jpmc26
44
En este caso, quería saber porque administramos el servicio, pero el servidor pertenece al cliente, por lo que hubiera sido útil saber si cometimos un error o si el equipo del servidor del cliente había cambiado algo. Además, quería asegurarme de que estaba bien volver a encenderlo, después de todo lo que había asumido que era un error, pero podría haber una buena razón por la cual ese servicio debería dejar de procesar archivos. Al final, la respuesta fue sí, estaban migrando una base de datos, por lo que el servicio se apagó mientras la base de datos no estaba disponible. Pero se olvidaron de volver a encenderlo cuando terminaron.
Paul Brindley

Respuestas:

39

Cuando se cambia el tipo de inicio de un servicio, se registra un evento en el registro de eventos del sistema , con id 7040 y el Administrador de control de servicios de origen .

El usuario que realizó la operación se muestra en el evento (ofuscado en la captura de pantalla a continuación). ingrese la descripción de la imagen aquí

Por lo tanto, debe encontrar esos eventos en sus registros de eventos; Esperemos que tenga directamente el nombre de usuario.

Si es un nombre de usuario genérico, como "administrador", entonces es hora de dejar de usar una cuenta genérica, y tendrá que correlacionar la fecha / hora del evento con otra información que pueda obtener de otro registro (como: Microsoft -Windows-TerminalServices-LocalSessionManager / Operational, que puede proporcionarle la IP de origen de una sesión de escritorio remoto)

JFL
fuente
11

En el Visor de eventos, busque en el "Registro de eventos de Windows" -> Registro de eventos "Sistema" y filtre el "Administrador de control de servicios" de origen y el Id. De evento 7040. Busque el evento que dice "El tipo de inicio del servicio cambió del tipo de inicio original deshabilitado "para el servicio que le interesa. Cuando encuentre eso, el" Usuario "que se detalla en los detalles a continuación es el usuario que realizó el cambio.

Pak
fuente