Существует ли способ зарегистрировать команды, которые пользователь выполняет в Windows 7?
В основном я сказал бы, что, если бы у Вас есть компетентный BOFH, Вы обречены... существует много способа установить бомбы, которые были бы не замечены. И если Ваша компания используется для извлечения "manu-вооруженных-сил" те, кто уволен, быть уверенным, что бомба будет заложена хорошо bofore временное увольнение!!!
Лучший способ состоит в том, чтобы минимизировать риски наличия сердитого администратора... Избегайте "временного увольнения для сокращения затрат" (если он будет компетентным и порочным BOFH, то убытки, которые можно потерпеть, вероятно, будут путем, больше, чем, что Вы получите от временного увольнения)... Если он сделал некоторую недопустимую ошибку, лучше сделать, чтобы он зафиксировал его (неоплаченный) как альтернатива временному увольнению... Он будет более благоразумным следующим разом, который не повторит ошибку (который будет увеличением его значения)... Но обязательно достигните хорошего целевого показателя (распространено, что некомпетентные люди с хорошей харизмой отклоняют свой собственный отказ к компетентному, но меньшему количеству социального).
И если Вы сталкиваетесь с истинным BOFH в худшем смысле (и что то поведение является причиной временного увольнения), Вы должны быть готовы переустановить с нуля всю систему, которой он был в контакте с (который будет, вероятно, означать каждый компьютер).
Не забывайте, что единственное разрядное изменение может заставить целую систему пойти опустошение... (setuid бит, Переход, если Несут к Переходу, если Никакие Не Несут...) и что даже инструменты компиляции, возможно, были поставлены под угрозу.
Вы можете использовать кейлоггер (убедитесь, что в антивирусном программном обеспечении есть исключение), но на самом деле это проблема управления человеком, а не техническая. Я бы посоветовал довести любую систему, с которой до этого работали, до точки, вызывающей проблему, и просто воспроизвести ее заново. Чем неудобнее это будет для виновного, тем раньше они узнают.
Использование PowerShell и событий WMI для обнаружения создания (и выхода) процесса довольно просто. Затем отфильтруйте (сильно) перед регистрацией.
Операции файловой системы и реестра могут быть проверены (это то, что системный ACL для каждого объекта является единожды глобально включенным), операции будут записываться в системный журнал событий. Это приведет к сгенерированию большого количества данных (даже если то, что проверяется, довольно ограничено).
Однако я думаю, что вам может быть лучше с другим подходом, если ваша цель - предотвратить возня. Конечно, все эти механизмы могут быть обойдены локальным администратором (и, конечно же, любой механизм аудита).
Лучше подумать, зачем им нужен доступ локального администратора: действительно ли он им нужен, или это какое-то неработающее приложение? (Что касается последнего, насколько я понимаю, прокладки совместимости часто могут решить проблему).