启用windows 10系统的审核功能后,系统就会跟踪并记录系统使用事件 。利用系统审核功能,我们不仅可以根据系统运行状态对故障进行排除,还可以监视用户在计算机上进行的操作 。如果要判断在自己没有使用电脑的情况下,电脑是否被其他人登录造访,只要保证在开启了系统登录审核功能的情况下,借助Windows事件查看器就能一探究竟 。
1. 通过组策略开启登录审核功能
在默认的情况下,Windows的登录审核策略处于关闭状态,我们需要首先开启此功能 。按下Win+R组合键启动“运行”程序框,在运行框中输入GPEDIT.MSC并回车,启动组策略编辑器(图1) 。
文章插图
在组策略编辑器的左侧窗格导航栏内,依次定位到“计算机配置→Windows设置→安全设置→本地策略”,然后单击下属的“审核策略”组,以显示其包含的各种审核项目(图2) 。
文章插图
接下来,双击右侧窗格列表中的各种审核策略,尤其是“审核登录事件”和“审核账户登录事件”,在审核操作列表中,将“成功”和“失败”选项均加以勾选,最后点击“应用”和“确认”按钮(图3) 。
文章插图
2. 通过事件查看器查看非法登录
右键单击Windows 10“开始”按钮,然后点击弹出菜单中的“事件查看器”选项,启动事件查看器(图4) 。
文章插图
在事件查看器窗口左侧导航栏内,依次点击“Windows日志→安全”;随后,在中部窗格中会出现许多具有登录日期和时间戳的条目(图5) 。由于每次登录时,Windows会在数分钟内记录许多登录条目,故而可以此来判断系统被执行登录操作的时间 。
文章插图
双击“任务类别”为Special Logon(特殊登录)的条目,在打开的“时间属性“窗口中,可看到登录账户名、账户域等信息(图6) 。此外,通过事件窗口右侧的“筛选当前日志”链接,可根据情况有目的地筛选日志记录,以便更快、更精准地定位和深入研判登录情况 。
文章插图
尽管可以在上述事件窗口中看到这些系统登录的日志,但对于足够聪明的入侵者来说,完全可以在访问后清除掉所有的事件日志 。为了预防这种情况的发生,我们可以通过设置,让系统记住上次登录的事件,并使这些信息不能被删除 。为此,需要借助于注册表编辑器来完成任务 。
按下Win+R组合键,启动“运行”对话框,输入REGEDIT打开注册表编辑器 。在注册表编辑器内,依次定位到“HKEY_LOCAL_macHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem”(图7);
文章插图
右键单击System项,选择“新建→Dword(32位)值”,新建一个DWORD值(图8);
文章插图
随后,将该新建值的名称修改为DisplayLastLogonInfo,双击编辑DisplayLastLogonInfo值,将其“数值数据”修改为1,然后点击“确定”(图9) 。这样,当下次登录到计算机时,将会首先看到上次登录Windows的时间以及任何尝试的失败记录,不论是自己登录系统还是陌生人登录系统的记录,都会有所记录和提示 。
文章插图
小提示:上述修改针对专业版以上的Windows 10系统 。家庭版的Windows系统虽然没有内置组策略功能,但由于开启了审核功能和事件跟踪,因此不用执行上述过程,仍不影响查看跟踪事件 。
安全审核无论对于个人计算机还是企业的系统,都非常重要 。由于审核日志能够记录是否有违反安全的事件发生,如果遭到入侵,正确的审核日志设置所生成的事件记录,将包含非常有用的入侵信息,为进一步研判入侵事件提供重要的依据,因此,对资料安全比较敏感的个人或部门,要充分用好这一特性设置 。
【开启登录审核 监视用机情况】
推荐阅读
- 隐私保卫战,教你开启主流浏览器“禁止跟踪”功能
- 华三防火墙Telnet登录方法
- 11个代码质量审核和管理工具,程序员收藏
- 一招开启win10“最强”模式,让你的电脑性能急速飙升!
- 如何centOS下mysql开启远程连接
- 淘宝严重违规被限制登录怎么回事 淘宝显示被限制登录显示出现严重违规
- Linux重装后登录远程显示access denied
- 书房风水装修设计合理 开启智慧之门运势大好
- 淘宝双12预售开启时间 淘宝双十二预售什么时候开始
- 闲鱼怎么登录另一个号 有一个闲鱼号,怎么再注册一个