Windows -operativsystemer har verktøy som lar oss utføre flere handlinger på operativsystemet, for eksempel å begrense tilgang, forhindre programendring, skjule systemelementer og mange flere.
Et av de mest praktiske og grunnleggende alternativene for å utføre en riktig styring av systemet er å kontrollere hvilken bruker som har fått tilgang til systemet for å kontrollere om noen uautoriserte endringer ble gjort av noen spesielt eller ved å ha en detaljert kontroll for administrasjonsoppgaver, revisjon eller sikkerhet.
Solvetic vil analysere hvordan vi kan observere hvilke brukere som har fått tilgang til operativsystemet med detaljert tilgangsinformasjon. Med den følgende videoopplæringen vil du kunne hjelpe deg selv til, gjennom revisjoner, å sjekke hvem og når som har logget på en datamaskin som du administrerer og dermed forhindre eller løse sikkerhetsproblemer i Windows 10.
1. Aktiver påloggingsrevisjon i Windows 10
Det første trinnet å utføre er å aktivere logging av hendelser knyttet til oppstart, som som standard er deaktivert i Windows. For dette må vi få tilgang til gruppepolicy -editoren som bare er tilgjengelig for Pro-, Enterprise- og Education -utgavene av Windows 10, Pro- og Enterprise -versjonene av Windows 7 og Windows 8.
Trinn 1
For å få tilgang til dem bruker vi følgende tastekombinasjon, og i vinduet som vises, vil vi utføre kommandoen gpedit.msc. Vi trykker Enter eller Godta.
+ R
gpedit.msc
Steg 2
I det viste vinduet går vi til følgende rute:
- Utstyrsoppsett
- Windows -innstillinger
- Sikkerhetsinnstillinger
- Lokale direktiver
- Revisjonsdirektiv
FORSTØRRE
Trinn 3
I den høyre kolonnen vil vi velge policyen som heter Audit login events, vi vil dobbeltklikke på den, og følgende vindu vil vises der vi kan aktivere to typer påloggingshendelser:
RiktigNår økten starter jevnt
FeilNår passordet eller brukeren er angitt feil og økten ikke kan startes
Trinn 4
Klikk på Bruk og OK for å lagre endringene. Vi kan se at konfigurasjonen er gjort riktig:
FORSTØRRE
2. Få tilgang til påloggingshendelser i Windows 10
Det neste trinnet er å få tilgang til Event Viewer som alle Windows -utgaver bringer for å analysere de respektive påloggingene.
Trinn 1
For å få tilgang til event viewer, i dette tilfellet i Windows 10, har vi følgende alternativer:
Steg 2
Når vi får tilgang til Event Viewer går vi til banen "Windows Registers / Security", og vi vil se følgende:
FORSTØRRE
Trinn 3
I denne visningen må vi fokusere på 4624 -koden som er knyttet til påloggingene, og når vi finner den, kan vi dobbeltklikke på den for å vite informasjonen i detalj:
Vi kan finne detaljer som
- Navnet på laget
- Domenet den tilhører
- Valgt hendelses -ID
- Hendelsesprioritetsnivå
- Bruker
- Dato og klokkeslett da tilgangen til systemet ble utført
- Berørt utstyr
På toppen kan vi vise mange flere detaljer knyttet til kontoen
Trinn 4
Hvis vi ikke ønsker å søke manuelt etter ID -ene som er knyttet til påloggingene, er det mulig å lage en tilpasset visning som bare filtrerer den hendelsen. For dette klikker vi på knappen Opprett tilpasset visning, og der velger du alternativet Sikkerhet i hendelseslogger -boksen og skriver inn ID -en i det respektive feltet:
Trinn 5
Klikk på OK, vi tilordner et navn til visningen, og vi vil kunne se alle hendelsene for den aktuelle IDen:
FORSTØRRE
Med denne prosessen vil vi kunne vite i detalj hvilken bruker og på hvilken eksakt dato de åpnet systemet for å ta de nødvendige tiltakene.
