Systemy operacyjne Windows posiadają narzędzia, które pozwalają nam na wykonywanie wielu działań w systemie operacyjnym, takich jak ograniczanie dostępu, zapobieganie modyfikacjom programu, ukrywanie elementów systemu i wiele innych.
Jedną z najbardziej praktycznych i fundamentalnych opcji prawidłowego zarządzania systemem jest weryfikacja, który użytkownik uzyskał dostęp do systemu w celu sprawdzenia, czy nie zostały wprowadzone przez kogoś nieautoryzowane zmiany lub prowadzenie szczegółowej kontroli zadań zarządczych, audyt lub bezpieczeństwo.
Solvetic przeanalizuje, w jaki sposób możemy zaobserwować, którzy użytkownicy uzyskali dostęp do systemu operacyjnego ze szczegółowymi informacjami dostępowymi. Dzięki poniższemu samouczkowi wideo będziesz mógł pomóc sobie, poprzez audyty, sprawdzić, kto i o której godzinie zalogował się do komputera, którym zarządzasz, a tym samym zapobiegać lub rozwiązywać problemy z bezpieczeństwem w systemie Windows 10.
1. Włącz audyt logowania w systemie Windows 10
Pierwszym krokiem do wykonania jest włączenie rejestrowania zdarzeń związanych z uruchamianiem, które domyślnie jest wyłączone w systemie Windows. W tym celu musimy uzyskać dostęp do edytora zasad grupy, który jest dostępny tylko dla wersji Pro, Enterprise i Education systemu Windows 10, wersji Pro i Enterprise systemu Windows 7 i Windows 8.
Krok 1
Aby uzyskać do nich dostęp, użyjemy następującej kombinacji klawiszy i w wyświetlonym oknie wykonamy polecenie gpedit.msc. Wciskamy Enter lub Akceptuj.
+ R
gpedit.msc
Krok 2
W wyświetlonym oknie przechodzimy do następującej trasy:
- Konfiguracja sprzętu
- Ustawienia systemu Windows
- Ustawienia bezpieczeństwa
- Dyrektywy lokalne
- Dyrektywa audytu
POWIĘKSZAĆ
Krok 3
W prawej kolumnie wybierzemy politykę o nazwie Audytuj zdarzenia logowania, klikniemy na nią dwukrotnie i wyświetli się następujące okno, w którym możemy aktywować dwa rodzaje zdarzeń logowania:
PrawidłowyKiedy sesja rozpocznie się płynnie
ZłoGdy hasło lub użytkownik zostanie wprowadzony niepoprawnie i nie można rozpocząć sesji
Krok 4
Kliknij Zastosuj i OK, aby zapisać zmiany. Widzimy, że konfiguracja została wykonana poprawnie:
POWIĘKSZAĆ
2. Uzyskaj dostęp do zdarzeń logowania w systemie Windows 10
Następnym krokiem jest uzyskanie dostępu do Podglądu zdarzeń, który wszystkie edycje systemu Windows wprowadzają w celu przeanalizowania odpowiednich loginów.
Krok 1
Aby uzyskać dostęp do przeglądarki zdarzeń, w tym przypadku w systemie Windows 10, mamy następujące alternatywy:
Krok 2
Po uzyskaniu dostępu do Podglądu zdarzeń przechodzimy do ścieżki „Rejestry / zabezpieczenia systemu Windows” i zobaczymy:
POWIĘKSZAĆ
Krok 3
W tej przeglądarce musimy skupić się na kodzie 4624, który jest powiązany z loginami, a po jego zlokalizowaniu możemy go dwukrotnie kliknąć, aby poznać szczegóły jego informacji:
Możemy znaleźć szczegóły, takie jak
- Nazwa zespołu
- Domena, do której należy
- Wybrany identyfikator wydarzenia
- Poziom priorytetu wydarzenia
- Użytkownik
- Data i godzina wykonania dostępu do systemu
- Sprzęt, którego dotyczy problem
Na górze możemy wyświetlić o wiele więcej szczegółów związanych z kontem
Krok 4
Jeśli nie chcemy ręcznie wyszukiwać identyfikatorów powiązanych z loginami, istnieje możliwość stworzenia niestandardowego widoku, który filtruje tylko to zdarzenie. W tym celu klikamy przycisk Utwórz widok niestandardowy i wybieramy opcję Bezpieczeństwo w polu Dzienniki zdarzeń i wpisujemy identyfikator w odpowiednim polu:
Krok 5
Kliknij OK, przypiszemy nazwę do tego widoku i będziemy mogli zobaczyć wszystkie zdarzenia o tym konkretnym identyfikatorze:
POWIĘKSZAĆ
Dzięki temu procesowi będziemy mogli szczegółowo wiedzieć, który użytkownik i kiedy dokładnie wszedł do systemu, aby podjąć niezbędne środki.
