Многофункционална функционалност в Windows ни позволи да го използваме удобно на обществени места като училище, колежи, офиси и т.н. На тези места обикновено има администратор, който успява да следи дейността на потребителите, работещи в тях. Понякога потребителите надхвърлят ограниченията си и променят профилите, конфигурирани в режим Работна група. Това може да има последици за сигурността и по този начин трябва да конфигурираме Windows за проследяване на потребителските дейности.
Като конфигурираме Windows за наблюдение на потребителските дейности, можем да увеличим сигурността на администрацията и можем да накажем потребителите на жертвите, като спазваме техните записи в случай на престъпление. В тази статия ще ви разкажем как да проследявате потребителските дейности в Windows 10 / 8.1 / 8/7 използвайки одитната политика. Ето как:
Проследяване на активността на потребителите посредством одиторските правила
1. Натиснете Windows Key + R комбинация, тип secpol.msc в тичам диалоговия прозорец и натиснете Въведете за да отворите Местна политика за сигурност.
2. В Местна политика за сигурност прозорец, разширяване Настройки на сигурността -> Местни политики -> Одитна политика, Сега трябва да си приличаш с този прозорец:
3. В десния панел можете да видите 9 Одит … политиките Няма одит като предварително определен настройка за сигурност. Кликнете еднократно върху всички правила и изберете селекцията успех и неуспех, щракнете върху Приложи следван от Добре за всяка политика.
Изпълнете следните стъпки, за да получите проследяваните записи:
Проследяване на активността на потребителите чрез използване на инструмента за разглеждане на събития
1. Натиснете Windows Key + R комбинация, тип eventvwr in тичам диалоговия прозорец и натиснете Въведете за да отворите Преглед на събития.
2. Сега, в Event Viewer прозорец, от левия панел, изберете Windows Документи -> Сигурност, Тук Windows записва всяко събитие, свързано със сигурността.
3. От централния екран кликнете върху всяко събитие, за да получите неговата информация:
1. Създаване на потребител: По-долу са идентификационните номера на събития, които се регистрират, когато потребителят е създаден.
- Идент. ID: 4728 | Тип: Одитен успех Категория: Управление на група за сигурност Описание: Един член бе добавен към глобална група с активирана защита.
- Идент. ID: 4720 | Тип: Одитен успех Категория: Управление на потребителски акаунти Описание: Бе създаден потребителски акаунт.
- Идент. ID: 4722 | Тип: Одитен успех Категория: Управление на потребителски акаунти Описание: Бе разрешен потребителски акаунт.
- Идент. ID: 4738 | Тип: Одит на успеха Категория: Управление на потребителски акаунти Описание: Потребителският профил бе променен.
- Идент. ID: 4732 | Тип: Одит на успеха Категория: Управление на група за сигурност Описание: Един член бе добавен към местна група с активирана защита.
2. Изтриване на потребител: По-долу са идентификационните номера на събития, които се запишат, когато потребителят бъде изтрит.
- Идент. ID: 4733 | Тип: Одит на успеха Категория: Управление на група за сигурност Описание: Един член бе премахнат от местна група с активирана защита.
- Идент. ID: 4729 | Тип: Одит на успеха Категория: Управление на група за сигурност Описание: Един член бе добавен към глобална група с активирана защита.
- Идент. ID: 4726 | Тип: Одит на успеха Категория: Управление на потребителски акаунти Описание: Потребителски профил бе изтрит.
3. Потребителски профил е деактивиран: По-долу са идентификационните номера на събития, които се регистрират, когато потребителят е деактивиран.
- Идент. ID: 4725 | Тип: Одит на успеха Категория: Управление на потребителски акаунти Описание: Потребителският профил бе деактивиран.
- Идент. ID: 4738 | Тип: Одит на успеха Категория: Управление на потребителски акаунти Описание: Потребителският профил бе променен.
4. Потребителски профил е активиран: По-долу са идентификационните номера на събития, които се регистрират, когато потребителят е активиран.
- Идент. ID: 4722 | Тип: Одит на успеха Категория: Управление на потребителски акаунти Описание: Бе разрешен потребителски акаунт.
- Идент. ID: 4738 | Тип: Одит на успеха Категория: Управление на потребителски акаунти Описание: Потребителският профил бе променен.
5. Паролата за потребителския акаунт се нулира: По-долу са идентификационните номера на събития, които се регистрират, когато паролата за потребителския акаунт се възстанови.
- Идент. ID: 4738 | Тип: Одит на успеха Категория: Управление на потребителски акаунти Описание: Потребителският профил бе променен.
- Идент. ID: 4724 | Тип: Одит на успеха Категория: Управление на потребителски акаунти Описание: Беше направен опит да се зададе нова парола за профила.
6. Потребителски акаунт: По-долу е идентификационният номер на събитието, който се запише, когато зададеният профил на пътя е зададен за потребителски акаунт.
Идент. ID: 4738 | Тип: Одит на успеха Категория: Управление на потребителски акаунти Описание: Потребителският профил бе променен.
7. Преименуване на потребителския профил: По-долу са идентификационните номера на събития, които се регистрират при преименуване на потребителския акаунт.
- Идент. ID: 4781 | Тип: Одит на успеха Категория: Управление на потребителски акаунти Описание: Името на профила е променено.
- Идент. ID: 4738 | Тип: Одит на успеха Категория: Управление на потребителски акаунти Описание: Потребителският профил бе променен.
8. Създаване на локална група: По-долу са идентификационните номера на събития, които се регистрират, когато е създадена Местна група.
- Идент. ID: 4731 | Тип: Одит на успеха Категория: Управление на група за сигурност Описание: Бе създадена местна група с активирана защита
- Идент. ID: 4735 | Тип: Одит на успеха Категория: Управление на група за сигурност Описание: Беше променена местната група с активирана защита
9. Добавяне на потребител към локална група: По-долу е идентификационният номер на събитието, който се регистрира, когато потребителят бъде добавен към местната група.
Идент. ID: 4732 | Тип: Одит на успеха Категория: Управление на група за сигурност Описание: Един член бе добавен към местна група с активирана защита
10. Премахване на потребител от локалната група: По-долу е идентификационният номер на събитието, който се регистрира, когато потребителят бъде премахнат от местната група.
Идент. ID: 4733 | Тип: Одит на успеха Категория: Управление на група за сигурност Описание: Един член бе премахнат от местна група с активирана защита
11. Изтриване на местната група: По-долу е идентификационният номер на събитието, който се регистрира, когато Местна група бъде изтрита.
Идент. ID: 4734 | Тип: Одит на успеха Категория: Управление на група за сигурност Описание: Местната група с активирана защита бе изтрита
12. Преименуване на местната група: По-долу са идентификационните номера на събития, които се регистрират, когато Местна група бъде преименувана.
- Идент. ID: 4781 | Тип: Одит на успеха Категория: Управление на потребителски акаунти Описание: Името на профила е променено
- Идент. ID: 4735 | Тип: Одит на успеха Категория: Управление на група за сигурност Описание: Беше променена местната група с активирана защита
По този начин можете да проследявате потребителите с техните дейности. Тази статия е приложима за Windows 10 / 8.1 в режим на работна група. За домейна на Active Directory процедурата ще бъде различна.
Подобни публикации:
- Диспечер на събития: безплатен софтуер за управление на събития
- Командите на WMI на Windows 10/8/7
- Какво представлява AuditPol в Windows 10/8/7 и как да го активирате
- Следете компютъра и документите си, като използвате груповата политика
- Съвети за управление на груповите правила за ИТ професионалистите в Windows