Zobacz użytkowników logujących się do systemu Windows Server

Zobacz użytkowników logujących się do systemu Windows Server | Microsoft 2025
Zobacz użytkowników logujących się do systemu Windows Server | Microsoft 2025

Jedną z najważniejszych kwestii, o których jako administratorzy musimy pamiętać, jest bezpieczeństwo naszych serwerów i sprzętu, zapewnienie tym, którzy mają do nich dostęp i dbanie o to, jakie mają w nim uprawnienia. Może się zdarzyć, że jakiś użytkownik przypadkowo lub nie dokona modyfikacji różnych parametrów serwera i tak jak mogą wystąpić zmiany, które nie wpływają na wydajność i stabilność systemu, tak inne zmiany mogą znacząco wpłynąć na bezpieczeństwo, poufność i wydajność systemu Windows Serwer 2016 a to z kolei przynosi poważne problemy, które mogą nawet prowadzić do problemów prawnych.

Oprócz wykonywania kopii zapasowych, jedną z najlepszych praktyk, które możemy wykonywać jako administratorzy, kierownicy IT i ogólnie jako personel systemowy, jest wdrożyć politykę audytu, która pozwala nam monitorować, którzy użytkownicy są zalogowani do systemu Windows Server 2016 (lub wcześniejsze wersje W.Server) i w ten sposób móc analizować, czy awarie systemu pokrywają się z logowaniem użytkownika innego niż autoryzowany. Przeanalizujemy, jak możemy wdrożyć tę politykę w środowisku Windows Server 2016.

1. Ustawienia zasad audytu


Pierwszym krokiem, jaki musimy zrobić, aby stworzyć nasz polityka audytu będzie przejście do konsoli zarządzania zasadami grupy lub Konsola zarządzania zasadami grupy, do tego użyjemy kombinacji klawiszy:

Naciskamy Wchodzić lub w porządku i zobaczymy następujące okno:

Będąc w Konsola GPO posuwamy się w następujący sposób: 

 Las / Domeny / Nuestro_Dominio / Kontrolery domeny / Domyślne zasady dotyczące kontrolerów domeny

Damy kliknij prawym przyciskiem myszy Domyślne zasady kontrolerów domeny a my wybieramy Edytować Aby wejść do edytora zasad grupy, zobaczymy następujące środowisko:

Tam musimy udać się na następującą trasę:

  • konfiguracja komputera
  • Zasady
  • Ustawienia systemu Windows
  • Ustawienia bezpieczeństwa
  • Zaawansowana konfiguracja zasad audytu
  • Zasady audytu

POWIĘKSZAĆ

[kolor = rgb (169,169,169)] Kliknij obraz, aby powiększyć [/ kolor]

W ten sposób weszliśmy w Opcja logowania/wylogowania i powinniśmy włącz audyt dla tych działań, czyli gdy użytkownik się zaloguje, zostanie on zarejestrowany w przeglądarce zdarzeń, aby później mógł wejść i wykonać odpowiednią analizę. Jak widzimy po prawej stronie, mamy szereg opcji, ale musimy edytować następujące:

  • Wylogowanie z audytu
  • Audyt logowania
  • Audyt innych zdarzeń logowania/wylogowywania

Te trzy (3) opcje dostarczą nam szczegółowych informacji na temat:

  • Logowanie sesyjne
  • Zamknięcia sesji
  • Blokada sprzętu
  • Połączenia przez zdalny pulpit
  • Itp.

Wystarczy dwukrotnie kliknąć trzy (3) opcje i aktywować pole Skonfiguruj następujące zdarzenia audytu i sprawdź dwie dostępne opcje (Sukces -Zadowalający Tak Awaria - Źle), aby zachować pełną kontrolę nad zdarzeniami logowania i wylogowywania w systemie Windows Server 2016.

Naciskamy Zastosować a następnie w porządku aby zapisać zmiany.

2. Przeanalizuj przeglądarkę wydarzeń


Po prawidłowym skonfigurowaniu tych parametrów przejdziemy do przeglądarki zdarzeń, aby przeanalizować odpowiednie zdarzenia.

Zdarzenia audytu logowania i wylogowaniaTeraz identyfikatory zdarzeń, o których musimy pamiętać, aby monitorować, są następujące:

  • 4624: Logowanie (zdarzenie bezpieczeństwa)
  • 4647: Wylogowanie (zdarzenie dotyczące bezpieczeństwa)
  • 6005: Uruchamianie systemu (zdarzenie systemowe)
  • 4778: Łączenie z RDP - Pulpit zdalny (zdarzenie dotyczące bezpieczeństwa)
  • 4779: Wyloguj się z RDP - Pulpit zdalny (zdarzenie dotyczące bezpieczeństwa)
  • 4800: Blokada sprzętu (zdarzenie bezpieczeństwa)
  • 4801: Odblokowanie wyposażenia (zdarzenie bezpieczeństwa)

będziemy mogli dostęp do przeglądarki wydarzeń za pomocą dowolnej z następujących opcji:

  • Kliknij prawym przyciskiem myszy ikonę startu POWIĘKSZAĆ

    [kolor = rgb (169,169,169)] Kliknij obraz, aby powiększyć [/ kolor]

    W celu przeglądu wyżej wymienionych wydarzeń wybierzemy opcję Bezpieczeństwo z zakładki Dzienniki systemu Windows:

    POWIĘKSZAĆ

    [kolor = rgb (169,169,169)] Kliknij obraz, aby powiększyć [/ kolor]

    Następnie damy kliknij opcję Filtruj bieżący dziennik aby móc filtrować według identyfikatora zdarzenia. Musimy wpisać ID lub ID, które chcemy zweryfikować, po prostu wpisujemy wartość (w tym przykładzie 4624) w polu Enter ID:

    Naciskamy w porządku i zobaczymy następujący wynik:

    POWIĘKSZAĆ

    [kolor = # a9a9a9] Kliknij obraz, aby powiększyć [/ kolor]

    Tam możemy wybrać dowolne zdarzenia, aby przeanalizować wszystkie Twoje informacje:

    W górnej części widzimy użytkownika, który się zalogował, domenę w jakiej się połączył oraz inne parametry, w dolnej widzimy rodzaj audytu, datę i godzinę zdarzenia, opis zdarzenia i inne aspekty.

    Tą drogą stworzyliśmy politykę audytu na poziomie logowania i wylogowania co pozwoli nam na całościowe zarządzanie i w każdej chwili o tym, którzy użytkownicy i kiedy zalogowali się do Windows Server 2016, a następnie określić, czy nastąpiła jakakolwiek modyfikacja systemu.

wave wave wave wave wave

Popularne Wiadomości

wave
1
post-title
Co jest lepsze i różnice między serwerem Proxy a VPN
2
post-title
Jak edytować lub usunąć wiadomość Skype wysłaną w systemie Windows 10 lub Android?
3
post-title
▷ Włącz lub wyłącz oszczędzanie energii w kontrolerze PS5 DualSense - Tryb uśpienia
4
post-title
Jak aktywować diody powiadomień w Xiaomi Redmi Note 8 i Redmi Note 8 Pro?
5
post-title
Najlepsze bezpłatne szablony dla Dokumentów Google

Zalecane

wave
- Sponsored Ad -

Wybór Redakcji

wave
- Sponsored Ad -