Dans l’article « Tirer sur le déclencheur d’événements », mars 2005, je présentais les déclencheurs d’événements une fonction de Windows Server 2003, Windows XP et Windows 2000, qui permet de configurer l’OS afin qu’il exécute certains programmes quand certains ID d’événements se produisent. Ce mois-ci, bouclons notre discussion sur eventtriggers.exe en nous intéressant à d’autres options.
Encore d’autres déclencheurs d’événements
Tout d’abord, soyons précis quant à la syntaxe /create. Vous trouverez ci-après la syntaxe Eventtriggers appropriée pour ordonner à l’OS de surveiller d’éventuelles tentatives de suppression des fichiers système protégés (qui produisent l’event ID 64002) et, si une telle tentative a lieu, d’envoyer un message à un utilisateur nommé Jack dont le mot de passe est swordfish :
eventtriggers
/create /tr sysattack /eid 64002
/ru jack /rp swordfish
/tk "net send jack the system is under attack!"
Mais comment peut-on spécifier le nom de compte de Jack ? Contrairement à beaucoup trop d’utilitaires Windows, Eventtriggers reconnaît les syntaxes de domainname\username et username@domainname. Les formats bigfirm\jack et jack@bigfirm.biz donnent tous deux satisfaction.
Comment savoir quels déclencheurs d’événements sont en place dans votre système ?
Le fait de taper
eventtriggers /query
produit une liste simple d’ID de déclencheurs – des nombres qui identifient le nom et la commande de chaque déclencheur à exécuter si le déclencheur est activé. Vous pouvez ajouter les options /s systemname, /u username et /p password pour accéder à la liste des déclencheurs d’événements d’un système distant. L’ajout du commutateur /v (verbose) donne d’autres détails sur les déclencheurs. Vous pouvez aussi utiliser l’option /fo si vous voulez formater la sortie comme une table simple (le format de sortie par défaut), une liste ou un fichier CSV (comma-separated value) (en utilisant les options table, list et csv, respectivement). Par exemple, pour obtenir une liste détaillée (verbose) des déclencheurs comme un fichier CSV, tapez
eventtriggers /query /fo csv /v
Vous aurez besoin de la valeur ID du déclencheur pour supprimer celui-ci, si vous ne le voulez plus dans le système. Pour supprimer un déclencheur, utilisez la commande
eventtriggers /delete /tid <triggerID>
Pour supprimer tous les déclencheurs, utilisez un astérisque (*). Ou bien, empilez plusieurs déclencheurs que vous souhaitez éliminer, de la manière suivante :
eventtriggers /delete /tid 1 /tid 5
Téléchargez cette ressource
Percer le brouillard des rançongiciels
Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Activer la mise en veille prolongée dans Windows 10
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Et si les clients n’avaient plus le choix ?
- Afficher les icônes cachées dans la barre de notification
Les plus consultés sur iTPro.fr
- Renouvellement des certificats SSL tous les 45 jours : une mise en œuvre impossible sans automatisation ?
- Palo Alto Networks s’engage sur la cyber solidarité
- Recrudescence des cyberattaques pilotées par l’IA
- Quelles salles de réunion renforcent la dynamique et la confiance d’équipe ?
- L’intelligence collective dans l’ère numérique
