У меня Windows Server 2019. Это сервер базы данных(MSSQL Server)в среде интрасети. Я отслеживаю его процесс и обнаружил, что иногда описанный ниже процесс запускается автоматически без какой-либо причины.
«C:\Windows\system32\cmd.exe» /c «сетевые администраторы локальной группы» "сетевые администраторы локальной группы"
Я проверяю список своих пользователей и список групп и не вижу новых пользователей. Я не знаю, почему net.exe запускается с этой командой для создания новых учетных записей локального администратора. как я могу проверить его основную причину и есть ли какие-либо решения для поиска журнала активности net.exe?
Проверьте событие с идентификатором 4688 , которое регистрируется Windows при каждом запуске процесса. Ссылка также объясняет, как настроить аудит в вашей системе, чтобы убедиться, что это событие действительно регистрируется.
Это определенно немного подозрительно, но начните с просмотра события, которое показывает вам такие вещи, как родительский PID, чтобы вы могли увидеть, какой процесс фактически запустил этот процесс.