何度か>>252の方法で止めてみた。
もちろんパケットモニタを起動してログとってたんだけど
特にチェックしてるらしきパケットは来てなかったよ。
本当に管理サーバにアラート出るの?

それ以前にコマンドプロンプトでの操作は監視対象外って時点で
穴だらけすぎると思うんだけどね。。
リソースキットやらPowerShellやらを使うと色々出来ちゃうし。

そもそも、開発・検証・本番運用・基盤整備の各チームのPCに入れても
どれが不正使用か正規使用かを見分けるのは至難の業だと思う今日この頃w