用任务计划管理计划任务对付任务计划流氓

1、还好微软提供的任务计划功能足够强大，我们可以以子之矛攻子之盾。用任务计划来对付WPS一类的任务计划流氓，下面是实现流程。

首先是准备工作，Windows7的任务计划是有日志的，但是微软默认的任务计划日志是没有开启的！！

微软到底想干什么，那些一般人根本看不懂，也不会去看，大多也没有用的东西哗啦哗啦的记录一大堆，但是非常重要和用户关系非常紧密且比较容易看的懂的任务计划日志却不去开启。再次望天质问，微软居心何在！

所以我们首先要打开任务计划的日志，从计算机管理—任务计划、管理工具—任务计划、运行—taskschd.msc等方法打开任务计划程序管理器。点击窗口右侧的“启用所有任务历史记录”。

注意开启之后会显示为“禁用所有任务历史记录”，就是说当显示为“启用所有任务历史记录”的时候，任务计划的日志是关闭的，显示为“禁用所有任务历史记录”的时候任务计划的日志是开启的。从作用上看这启用/禁用应该是个选择按钮，但是这种显示方法和有字面上的叙述，实在是别扭偷透了。

2、开启了任务计划日志之后，实验的先禁用WPS的任务计划，在任务计划程序库的根目录下面，有两个，分别是“WpsNotifyTask_Administrator”和“WpsUpdateTask_Administrator”。禁用之后再打开WPS，让WPS去重置上述的两个任务计划，下面我们可以去查看任务计划日志了。

从计算机管理—事件查看器、管理工具—事件查看器、运行—eventvwr.msc等方法打开事件查看器。从窗口左侧依次选择：应用程序和服务日志——Microsoft——windows——TaskScheduler/Operational，这就是任务计划日志。

3、看下图，其中事件ID：140就是WPS重置任务计划的ID号，这个ID号等一下有用。当然估计别的程序如果重置任务计划估计也是ID140，但是会去随意的重置任务计划的目前就遇到WPS一个，Chrome什么的，把它禁用，他就老老实实的禁用着。

准备工作做完了，我们就祭出杀器“子之矛”，任务计划程序了。

4、打开任务计划程序管理器，随便打开一个目录，创建一个计划任务。常规页，名字随便起，但是最好中间不要有空格，运行时的用户，当然是要权限更高的用户administrator或者system，administrator就够了，system的话不知道是否能收到消息。

5、重要的触发器页面，点新建触发器，在新建触发器窗口中，开始任务类型选择“发生事件时”，开始任务类型选择“发生事件时”，开始任务类型选择“发生事件时”，看我连说三遍，大家都懂哈。

6、选择发生事件时之后，设置对话框发生了改变，选择“基本”；

日志选择“Microsoft-windows-TaskScheduler/Operational”；

源选不选都可以；

事件ID当然写140，如果不选择“基本”，而选择自定义，则可以填写多个事件ID，基本和自定义的差别就在这里；

还有个延迟任务时间，选择任务延迟的原因是为了防止被监控目标程序还没有执行完毕，即进行干预而产生错误，所以设置个延迟，这里可以接受输入，我输入了5秒，这不会产生不良的影响，WPS进行140事件只是重置，并不是开始任务，wps的任务是从每小时运行一次。

上面触发器设置完成了，一路的确定保存下来，下面的操作虽然重要，反而是最简单的。

在操作页面，有三种操作可选。

自动响应干预应该的选择是启动程序。至于程序是什么，什么都行，程序、脚本、批处理都可以，大家可以尽情的发挥。

作为测试，我选择了如图发送消息，这个发送消息输入框，需要用右键快捷菜单的打开ime才能使用我的谷歌拼音输入法，不能单纯的输入法切换，不知道此情况是不是通常状况。

7、一路的确定保存，直至关闭新建任务的对话框。

好了任务计划创建完成了，我们先测试一下是否能正常的运行。老办法，先禁用两个WPS任务计划，然后打开WPS。OK，收到消息了。

根据WPS重置任务计划而触发的自建任务计划创建成功。嗯，这话真别嘴，以子之矛攻子之盾就这样。

8、选择的任务计划还只能给出提示，想做什么干预就需要设置操作的启动程序了。要设置什么程序很简单。

schtasks /delete /tn “任务名称” /f删除此任务计划

schtasks /change /tn “任务名称” /DISABLE 禁用此任务计划

schtasks /end /tn “任务名称” 停止此任务计划

schtasks /query /tn “任务名称” 检索此任务计划

schtasks /query 检索所有任务计划schtasks /query中cmd中运行需要chcp 437，中文环境下会出错。

以上命令通过批处理VBS或者JS脚本等等方法组合判断，可以自动的成功干预WPS的任务计划了。

经测试，WPS打开的情况下，禁用任务计划很快就被重置，所以禁用没有用。但是删除有用，删除了WPS的计划任务之后，不知道什么原因，我的2016版的WPS一小时之后才重新注册了任务计划。

实际禁用任务之后，如果不通过命令或者查看日志，在任务计划管理器中是看不出WPS的任务计划是又重置为启用的，刷新也没有用，这是一种欺骗，让用户误认他的操作成功了，但是这种欺骗原理是什么？？为什么会刷新没有用？？微软在此问题上有不可推卸的责任！！

以此类推那一小时之后重新注册任务计划也是欺骗，不过这就和微软没有关系了，是WPS的行为。

9、以上是通过任务计划程序以子之矛攻子之盾干翻WPS的流氓任务计划的。通过监测任务计划日志，触发程序执行，已经可以完成的管理计任务计划了。大家有兴趣可以看看各个软件添加计划任务的事件ID，定义触发器，自动的执行任务计划管理，或者给予提示。像windows默认设置的那样什么程序都能偷偷摸摸的添加任务计划实在是太不像话了。

1、上面的功能虽然强大，但是还是只限于任务计划范围之内的东西，Windows的权限审核SACL系统+事件触发任务计划，才是是终极大杀器。

所谓的SACL权限审核，就是大家看文件或者注册表权限，权限和所有者中间的那个东西——审核。有的朋友可能实验过，但是没有用。

我简单的说一下这个东西的使用和作用。这个东西在过打开对象访问的审核之后，再进行审核设置，符合审核设置条件的将会记入系统日志安全。在本地安全策略—高级审核策略配置—系统审核策略-本地组策略对象—对象访问中打开或关闭对象审核，文件权限中设置的审核归审核文件系统管，注册表权限设置的审核当然归审核注册表管。

2、开启了审核访问之后，再去具体的目标设置SACL，如下图我设置了审核注册表项HKLM\SOFTWARE\7-Zip用户administrator的设置数值和删除成功操作的审核。然后我再7-Zip下随便建个值，然后删除。

3、然后到事件查看器中，打开Windows日志——安全，安全日志已成功记录了administrator对HKLM\SOFTWARE\7-Zip的操作。

4、SACL虽然是个老东西，出现很长时间里，应用的范围不大，但是作用非常强大，可以有目的的监控目标的各种操作，比如监控HKLM\SYSTEM\CurrentControlSet\service的创建子项，可以监控是否创建了服务，监控HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是监控启动项，还有exe文件打开类型等重要的目标，当然可以监控任务计划，HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks.。如果仅仅的监控，意义不大，但是如果再加上任务计划的触发，就是安全管理大杀器了，什么什么工具箱的都可以卸载了。因为它们的功能还不如你设置的强大和适用。