evolutioncrazy
23-07-2010, 01:45
Su una macchina mi trovo sistematicamente nei log di windows (registri di windows -> sistema) questo evento:
Nome registro: System
Origine: Microsoft-Windows-Winlogon
Data: 23/07/2010 01:15:48
ID evento: 7001
Categoria attività:(1101)
Livello: Informazioni
Parole chiave:
Utente: SYSTEM
Computer: XXX
Descrizione:
Notifica di accesso utente per Analisi utilizzo software
XML evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" />
<EventID>7001</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>1101</Task>
<Opcode>0</Opcode>
<Keywords>0x2000000000000000</Keywords>
<TimeCreated SystemTime="2010-07-22T23:15:48.134751000Z" />
<EventRecordID>47699</EventRecordID>
<Correlation />
<Execution ProcessID="1020" ThreadID="1088" />
<Channel>System</Channel>
<Computer>XXX</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="TSId">1</Data>
<Data Name="UserSid">S-XXX</Data>
</EventData>
</Event>
e dopo circa 5 minuti:
Nome registro: System
Origine: Microsoft-Windows-Winlogon
Data: 23/07/2010 01:20:31
ID evento: 7002
Categoria attività:(1102)
Livello: Informazioni
Parole chiave:
Utente: SYSTEM
Computer: XXX
Descrizione:
Notifica di disconnessione utente per Analisi utilizzo software
XML evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" />
<EventID>7002</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>1102</Task>
<Opcode>0</Opcode>
<Keywords>0x2000000000000000</Keywords>
<TimeCreated SystemTime="2010-07-22T23:20:31.913511800Z" />
<EventRecordID>47750</EventRecordID>
<Correlation />
<Execution ProcessID="1020" ThreadID="5724" />
<Channel>System</Channel>
<Computer>XXX</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="TSId">1</Data>
<Data Name="UserSid">S-xxxxx</Data>
</EventData>
</Event>
Ho disabilitato tutte le possibili autorizzazioni sulla raccolta info di utilizzo (pure da group policy editor) ma continuo comunque a ritrovarmelo e non riesco quindi a ricondurlo all'opzione a cui è associato.
Come posso fare per disabilitare completamente l'utente tutte le funzionalità di questo tipo che non mi interessano?
E' normale questo log? c'e' un modo per risalire a quale programma microsoft ne fa uso?
Sulla macchina non c'e' installato office, e prodotti microsoft che potrebbero usare analisi utilizzo software c'e' msn live messenger (per il quale l'ho disabilitato) e forse anche synctoy, che pero' non so come verificare lo stato
Nome registro: System
Origine: Microsoft-Windows-Winlogon
Data: 23/07/2010 01:15:48
ID evento: 7001
Categoria attività:(1101)
Livello: Informazioni
Parole chiave:
Utente: SYSTEM
Computer: XXX
Descrizione:
Notifica di accesso utente per Analisi utilizzo software
XML evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" />
<EventID>7001</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>1101</Task>
<Opcode>0</Opcode>
<Keywords>0x2000000000000000</Keywords>
<TimeCreated SystemTime="2010-07-22T23:15:48.134751000Z" />
<EventRecordID>47699</EventRecordID>
<Correlation />
<Execution ProcessID="1020" ThreadID="1088" />
<Channel>System</Channel>
<Computer>XXX</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="TSId">1</Data>
<Data Name="UserSid">S-XXX</Data>
</EventData>
</Event>
e dopo circa 5 minuti:
Nome registro: System
Origine: Microsoft-Windows-Winlogon
Data: 23/07/2010 01:20:31
ID evento: 7002
Categoria attività:(1102)
Livello: Informazioni
Parole chiave:
Utente: SYSTEM
Computer: XXX
Descrizione:
Notifica di disconnessione utente per Analisi utilizzo software
XML evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" />
<EventID>7002</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>1102</Task>
<Opcode>0</Opcode>
<Keywords>0x2000000000000000</Keywords>
<TimeCreated SystemTime="2010-07-22T23:20:31.913511800Z" />
<EventRecordID>47750</EventRecordID>
<Correlation />
<Execution ProcessID="1020" ThreadID="5724" />
<Channel>System</Channel>
<Computer>XXX</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="TSId">1</Data>
<Data Name="UserSid">S-xxxxx</Data>
</EventData>
</Event>
Ho disabilitato tutte le possibili autorizzazioni sulla raccolta info di utilizzo (pure da group policy editor) ma continuo comunque a ritrovarmelo e non riesco quindi a ricondurlo all'opzione a cui è associato.
Come posso fare per disabilitare completamente l'utente tutte le funzionalità di questo tipo che non mi interessano?
E' normale questo log? c'e' un modo per risalire a quale programma microsoft ne fa uso?
Sulla macchina non c'e' installato office, e prodotti microsoft che potrebbero usare analisi utilizzo software c'e' msn live messenger (per il quale l'ho disabilitato) e forse anche synctoy, che pero' non so come verificare lo stato