Операционните системи Windows имат инструменти, които ни позволяват да извършваме множество действия върху операционната система, като например ограничаване на достъпа, предотвратяване на промяна на програмата, скриване на системни елементи и много други.
Един от най -практичните и основни варианти за осъществяване на правилно управление на системата е да се провери кой потребител е осъществил достъп до системата, за да се провери дали са извършени неупълномощени промени от някой по -специално или чрез поддържане на подробен контрол за управленските задачи, одит или сигурност.
Solvetic ще анализира как можем да наблюдаваме кои потребители са имали достъп до операционната система с подробна информация за достъп. Със следния видеоурок ще можете да си помогнете чрез одити да проверите кой и в колко часа е влязъл в компютър, който управлявате, и по този начин да предотвратите или разрешите проблеми със сигурността в Windows 10.
1. Активирайте одита за влизане в Windows 10
Първата стъпка, която трябва да изпълните, е да активирате регистрирането на събития, свързани с стартиращи компании, което по подразбиране е деактивирано в Windows. За целта трябва да имаме достъп до редактора на групови правила, който е наличен само за изданията Pro, Enterprise и Education на Windows 10, Pro и Enterprise версиите на Windows 7 и Windows 8.
Етап 1
За достъп до тях ще използваме следната комбинация от клавиши и в показания прозорец ще изпълним командата gpedit.msc. Натискаме Enter или Accept.
+ R
gpedit.msc
Стъпка 2
В показания прозорец отиваме на следния маршрут:
- Настройка на оборудването
- Настройки на Windows
- Настройки на сигурността
- Местни директиви
- Директива за одит
Увеличете
Стъпка 3
В дясната колона ще изберем политиката, наречена Audit login events, ще щракнем два пъти върху нея и ще се покаже следният прозорец, където можем да активираме два типа събития за вход:
ПравилноКогато сесията започне безпроблемно
ГрешноКогато паролата или потребителят са въведени неправилно и сесията не може да започне
Стъпка 4
Щракнете върху Приложи и OK, за да запазите промените. Можем да видим, че конфигурацията е направена правилно:
Увеличете
2. Достъп до събития за влизане в Windows 10
Следващата стъпка е достъп до програмата за преглед на събития, която носят всички издания на Windows, за да се анализират съответните данни за вход.
Етап 1
За достъп до инструмента за преглед на събития, в този случай в Windows 10, имаме следните алтернативи:
Стъпка 2
След като влезем в Event Viewer, отиваме на пътя "Windows Registers / Security" и ще видим следното:
Увеличете
Стъпка 3
В тази програма за преглед трябва да се съсредоточим върху кода 4624, който е свързан с влизанията и когато го локализираме, можем да кликнете два пъти върху него, за да разберете подробно информацията му:
Можем да намерим подробности като
- Име на отбора
- Домейн, към който принадлежи
- Идент. № на избрано събитие
- Ниво на приоритет на събитието
- Потребител
- Дата и час на изпълнение на достъпа до системата
- Засегнато оборудване
Най -отгоре можем да покажем много повече подробности, свързани с профила
Стъпка 4
Ако не искаме ръчно да търсим идентификационните номера, свързани с влизанията, е възможно да създадем персонализиран изглед, който филтрира само това събитие. За целта кликваме върху бутона Създаване на персонализиран изглед и там избираме опцията Защита в полето Регистрационни файлове на събитията и въвеждаме ИД в съответното поле:
Стъпка 5
Щракнете върху OK, ние ще присвоим име на споменатия изглед и ще можем да видим всички събития от този конкретен идентификатор:
Увеличете
С този процес ще можем да знаем подробно кой потребител и на каква точна дата са влезли в системата, за да предприемат необходимите мерки.
