Многопользовательская функциональность в Windows позволила нам удобно использовать ее в общественных местах, таких как школа, колледжи, офисы и т. Д. В этих местах обычно есть администратор, которому удается следить за деятельность пользователей, работающих в нем. Иногда пользователи выходят за свои пределы и изменяют учетные записи, настроенные в режиме рабочей группы. Это может иметь последствия для безопасности, и поэтому мы должны настроить Windows для отслеживания действий пользователя.
Настраивая Windows для мониторинга действий пользователей, мы можем повысить безопасность администрации, а также наказать пользователей-жертв, наблюдая за их записями в случае нарушения. В этой статье мы расскажем вам, как отслеживать действия пользователей в Windows 10/8.1/8/7 с помощью политики аудита. Вот как:
Отслеживание активности пользователей с помощью политики аудита
1. Нажмите сочетание клавиш Windows + R , введите secpol.msc в диалоговом окне Выполнить и нажмите Введите , чтобы открыть Локальную политику безопасности .
2. В окне Локальная политика безопасности разверните Настройки безопасности -> Локальные политики -> Аудит Политика . Теперь вы должны получить окно, похожее на это:
3. На правой панели вы можете увидеть 9 Аудит… [] , в которых Нет аудита как . > предопределенный параметр безопасности. Выберите один за другим все политики и выберите Успех и Сбой , нажмите Применить , а затем нажмите ОК для каждая политика.
Таким образом, мы настроим Windows для отслеживания активности пользователей.
Выполните следующие шаги, чтобы получить отслеженные записи:
Отслеживание активности пользователя с помощью средства просмотра событий
1. Нажмите комбинацию Windows + R , введите eventvw r в диалоговом окне Выполнить и нажмите . Введите , чтобы открыть Просмотр событий .
2. Теперь в окне Просмотр событий r на левой панели выберите Журналы Windows -> Безопасность . , Здесь Windows ведет учет каждого события, касающегося безопасности.
3. На центральной панели щелкните любое событие, чтобы получить его информацию:
Теперь вот список идентификаторов событий, который охватывает действия пользователей для учетных записей в режиме рабочей группы:
1. Создать пользователя . Ниже приведены идентификаторы событий, которые регистрируются при создании пользователя.
- Идентификатор события: 4728 | Тип: Аудит успешно выполнен | Категория : управление группами безопасности | Описание . Участник добавлен в глобальную группу с включенной безопасностью.
- Идентификатор события: 4720 | Тип: Аудит успешно выполнен | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя создана.
- Идентификатор события: 4722 | Тип: Аудит успешно выполнен | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя включена.
- Идентификатор события: 4738 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя была изменена.
- Идентификатор события: 4732 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Участник добавлен в локальную группу с включенной безопасностью.
2. Удалить пользователя . Ниже приведены идентификаторы событий, которые регистрируются при удалении пользователя.
- Идентификатор события: 4733 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Член удален из локальной группы с включенной безопасностью.
- Идентификатор события: 4729 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Участник добавлен в глобальную группу с включенной безопасностью.
- Идентификатор события: 4726 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя удалена.
3. Учетная запись пользователя отключена . Ниже приведены идентификаторы событий, которые регистрируются при отключении пользователя.
- Идентификатор события: 4725 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя отключена.
- Идентификатор события: 4738 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя была изменена.
4. Учетная запись пользователя включена . Ниже приведены идентификаторы событий, которые регистрируются при включении пользователя.
- Идентификатор события: 4722 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя включена.
- Идентификатор события: 4738 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя была изменена.
5. Сброс пароля учетной записи пользователя . Ниже приведены идентификаторы событий, которые регистрируются при сбросе пароля учетной записи пользователя.
- Идентификатор события: 4738 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя была изменена.
- Идентификатор события: 4724 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Была предпринята попытка сбросить пароль учетной записи.
6. Путь к профилю учетной записи пользователя: . Ниже указан идентификатор события, который регистрируется, когда путь к профилю пользователя устанавливается для учетной записи пользователя.
- Идентификатор события: 4738 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя была изменена.
7. Переименование учетной записи пользователя . Ниже приведены идентификаторы событий, которые регистрируются при переименовании учетной записи пользователя.
- Идентификатор события: 4781 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Имя учетной записи было изменено.
- Идентификатор события: 4738 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя была изменена.
8. Создать локальную группу . Ниже приведены идентификаторы событий, которые регистрируются при создании локальной группы.
- Идентификатор события: 4731 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Создана локальная группа с включенной безопасностью.
- Идентификатор события: 4735 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание: локальная группа с включенной безопасностью была изменена
9. Добавить пользователя в локальную группу . Ниже приводится идентификатор события, который регистрируется при добавлении пользователя в локальную группу.
- Идентификатор события: 4732 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Участник добавлен в локальную группу с включенной безопасностью.
10. Удалить пользователя из локальной группы . Ниже приведен идентификатор события, который регистрируется при удалении пользователя из локальной группы.
- Идентификатор события: 4733 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Член удален из локальной группы с включенной безопасностью.
11. Удалить локальную группу . Ниже указан идентификатор события, который регистрируется при удалении локальной группы.
- Идентификатор события: 4734 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Удалена локальная группа с включенной безопасностью
12. Переименовать локальную группу . Ниже приведены идентификаторы событий, которые регистрируются при переименовании локальной группы.
- Идентификатор события: 4781 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Имя аккаунта было изменено.
- Идентификатор события: 4735 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание: локальная группа с включенной безопасностью была изменена
Таким образом, вы можете отслеживать пользователей по их действиям. Эта статья применима для Windows 10/8.1 в режиме рабочей группы. Для домена Active Directory процедура будет другой.