Olá,
Sou novo aqui no forum, acredito que esteje criando este tópico no lugar certo.
Bom, estou precisando verificar no computador de um funcionário na empresa, quando é que foi alterado a data e hora do computador dele, pois estamos desconfiando que o mesmo possa ter mudado data em hora para tentar burlar um outro programa, e preciso achar uma forma de verificar se realmete foi o caso. Ha claro o OS é Win XP.
Desde já obrigado
- Home
- >
- Fórum
- >
- Windows, Softwa...
- >
- Windows
- >
- log para alteração de hor...
pgfortes disse: Olá,
Sou novo aqui no forum, acredito que esteje criando este tópico no lugar certo.
Bom, estou precisando verificar no computador de um funcionário na empresa, quando é que foi alterado a data e hora do computador dele, pois estamos desconfiando que o mesmo possa ter mudado data em hora para tentar burlar um outro programa, e preciso achar uma forma de verificar se realmete foi o caso. Ha claro o OS é Win XP.
Desde já obrigado
Tem vários programas do gênero que tiram screenshots com certa periodicidade sem que o usuário saiba que está sendo monitorado. Não me lembro do nome, mas uma busca no tio google aí deve mostrar alguns results. Boa sorte. Ah, é claro, tem a opção de gerar logs do que o usuário está digitando, enfim, um verdadeiro espião.
x_rafa disse: Tem vários programas do gênero que tiram screenshots com certa periodicidade sem que o usuário saiba que está sendo monitorado. Não me lembro do nome, mas uma busca no tio google aí deve mostrar alguns results. Boa sorte. Ah, é claro, tem a opção de gerar logs do que o usuário está digitando, enfim, um verdadeiro espião.
Amigo muito obrigado pela sua atenção, mas o que realmente preciso é encontrar algo no windows que me mostre se já aconteceu, pois o problema já ocorreu e como eu não tinha nenhum desses programas, agora tenho que fazer "mágica".
pgfortes disse: Amigo muito obrigado pela sua atenção, mas o que realmente preciso é encontrar algo no windows que me mostre se já aconteceu, pois o problema já ocorreu e como eu não tinha nenhum desses programas, agora tenho que fazer "mágica".
No próprio Windows, o máximo que pode achar parecido (beeeeeem de longe!) é a restauração do sistema. Se houver uma funcionalidade semelhante no Windows, eu desconheço.
É uma pena que o Log de eventos só registre as alterações de sincronização.
Uma forma de impedir a alteração da data é configurar o usuário no grupo de Usuários, ou alterar a diretiva que define os grupos que podem alterar o horário, deixando só o grupo de Administradores. Ah, e uma senha no BIOS.
Existe um programa UserAssist que indica todos os programas que foram executados e a respectiva hora.
A interpretação dos dados não é fácil, mas pode ajudar.
[]s
Regras de conduta!
Não respondemos a dúvidas técnicas através de mensagens
Obrigados a todos pela atenção e empenho, vou tentar conforme nosso amigo Otneba62 indicou, depois informo o resultado
Quero agradecer muito a todos por me auxiliarem em especial ao amigo Otneba62, que com sua dica me ajudou muito. Realmente o programa não é muito facil mas consegui a informação que necessitava.
Mais uma vez obrigado.
Acho que achei o que você queria. A solução que achei está na resposta #2 deste tópico do Baboo.
O tópico em questão se refere ao Windows 2003. Logo, você não vai encontrar o caminho indicado. Mas te passo o caminho no XP (usei o Vista para o teste, mas o caminho não deve ser diferente; infelizmente, no momento não estou de frente a um computador com Windows XP):
Configurações do Windows > Configurações de segurança > Diretivas de auditoria > Auditoria de eventos do sistema. Dê dois cliques e marque Êxito. Fiz um teste deduzindo meia hora do horário local do Windows Vista. Em seguida, fui no Visualizador de eventos > Segurança (acessível apenas ao administrador) e acessei o evento mais recente gerado. Bingo! Repare nos destaques:
[code=rich]
O horário do sistema foi alterado.
Requerente:
Identificação de segurança: RSD001\Admin
Nome da conta: Admin
Domínio da conta: RSD001
Identificação de logon: 0x26f21f
Informações do processo:
Identificação do processo: 0x16c0
Nome: C:\Windows\System32\dllhost.exe
Horário anterior: 22:34:54 24/02/2012
Novo horário: 22:00:46 24/02/2012
Este evento é gerado quando o horário do sistema é alterado. É normal que o serviço de tempo do Windows, executado com o privilégio Sistema, altere o horário do sistema regularmente. Outras alterações no horário do sistema podem indicar tentativas de violação do computador.[/code]Como só o administrador pode ver os eventos de auditoria, mesmo se o camarada for sagaz ao ponto de pensar em logs e de tentar apagar um provável evento de auditoria, não poderá fazer nada sem privilégios administrativos. Boa sorte!
H4RD50FT.RSD disse: Acho que achei o que você queria. A solução que achei está na resposta #2 deste tópico do Baboo.
O tópico em questão se refere ao Windows 2003. Logo, você não vai encontrar o caminho indicado. Mas te passo o caminho no XP (usei o Vista para o teste, mas o caminho não deve ser diferente; infelizmente, no momento não estou de frente a um computador com Windows XP):
Configurações do Windows > Configurações de segurança > Diretivas de auditoria > Auditoria de eventos do sistema. Dê dois cliques e marque Êxito. Fiz um teste deduzindo meia hora do horário local do Windows Vista. Em seguida, fui no Visualizador de eventos > Segurança (acessível apenas ao administrador) e acessei o evento mais recente gerado. Bingo! Repare nos destaques:
[code=rich]
O horário do sistema foi alterado.
Requerente:
Identificação de segurança: RSD001\Admin
Nome da conta: Admin
Domínio da conta: RSD001
Identificação de logon: 0x26f21f
Informações do processo:
Identificação do processo: 0x16c0
Nome: C:\Windows\System32\dllhost.exe
Horário anterior: 22:34:54 24/02/2012
Novo horário: 22:00:46 24/02/2012
Este evento é gerado quando o horário do sistema é alterado. É normal que o serviço de tempo do Windows, executado com o privilégio Sistema, altere o horário do sistema regularmente. Outras alterações no horário do sistema podem indicar tentativas de violação do computador.[/code]Como só o administrador pode ver os eventos de auditoria, mesmo se o camarada for sagaz ao ponto de pensar em logs e de tentar apagar um provável evento de auditoria, não poderá fazer nada sem privilégios administrativos. Boa sorte!
Obrigado pela dica, esse tambem foi muito importante, valeu mesmo
pgfortes disse: Obrigado pela dica, esse tambem foi muito importante, valeu mesmo
Espero que possa ajudar na sua investigação. Ah, aproveitando: fiz o teste numa máquina Windows XP. Nele, o evento disparado ao alterar o horário não é tão detalhista em relação ao Windows Vista e 7, mas cumpre bem o papel de "dedo duro".
Uma dica: no caso de fazer um teste, se você não achar o evento tecle F5 para atualizar a lista. Identifique o nome do evento (não lembro de cabeça agora) para usar como filtro de pesquisa quando for preciso.
Boa sorte!