啟用windows 10系統(tǒng)的審核功能后,系統(tǒng)就會(huì)跟蹤并記錄系統(tǒng)使用事件。利用系統(tǒng)審核功能,我們不僅可以根據(jù)系統(tǒng)運(yùn)行狀態(tài)對故障進(jìn)行排除,還可以監(jiān)視用戶在計(jì)算機(jī)上進(jìn)行的操作。如果要判斷在自己沒有使用電腦的情況下,電腦是否被其他人登錄造訪,只要保證在開啟了系統(tǒng)登錄審核功能的情況下,借助Windows事件查看器就能一探究竟。
1. 通過組策略開啟登錄審核功能
在默認(rèn)的情況下,Windows的登錄審核策略處于關(guān)閉狀態(tài),我們需要首先開啟此功能。按下Win+R組合鍵啟動(dòng)“運(yùn)行”程序框,在運(yùn)行框中輸入GPEDIT.MSC并回車,啟動(dòng)組策略編輯器(圖1)。
在組策略編輯器的左側(cè)窗格導(dǎo)航欄內(nèi),依次定位到“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略”,然后單擊下屬的“審核策略”組,以顯示其包含的各種審核項(xiàng)目(圖2)。
接下來,雙擊右側(cè)窗格列表中的各種審核策略,尤其是“審核登錄事件”和“審核賬戶登錄事件”,在審核操作列表中,將“成功”和“失敗”選項(xiàng)均加以勾選,最后點(diǎn)擊“應(yīng)用”和“確認(rèn)”按鈕(圖3)。
2. 通過事件查看器查看非法登錄
右鍵單擊Windows 10“開始”按鈕,然后點(diǎn)擊彈出菜單中的“事件查看器”選項(xiàng),啟動(dòng)事件查看器(圖4)。
在事件查看器窗口左側(cè)導(dǎo)航欄內(nèi),依次點(diǎn)擊“Windows日志→安全”;隨后,在中部窗格中會(huì)出現(xiàn)許多具有登錄日期和時(shí)間戳的條目(圖5)。由于每次登錄時(shí),Windows會(huì)在數(shù)分鐘內(nèi)記錄許多登錄條目,故而可以此來判斷系統(tǒng)被執(zhí)行登錄操作的時(shí)間。
雙擊“任務(wù)類別”為Special Logon(特殊登錄)的條目,在打開的“時(shí)間屬性“窗口中,可看到登錄賬戶名、賬戶域等信息(圖6)。此外,通過事件窗口右側(cè)的“篩選當(dāng)前日志”鏈接,可根據(jù)情況有目的地篩選日志記錄,以便更快、更精準(zhǔn)地定位和深入研判登錄情況。
盡管可以在上述事件窗口中看到這些系統(tǒng)登錄的日志,但對于足夠聰明的入侵者來說,完全可以在訪問后清除掉所有的事件日志。為了預(yù)防這種情況的發(fā)生,我們可以通過設(shè)置,讓系統(tǒng)記住上次登錄的事件,并使這些信息不能被刪除。為此,需要借助于注冊表編輯器來完成任務(wù)。
按下Win+R組合鍵,啟動(dòng)“運(yùn)行”對話框,輸入REGEDIT打開注冊表編輯器。在注冊表編輯器內(nèi),依次定位到“HKEY_LOCAL_macHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem”(圖7);
右鍵單擊System項(xiàng),選擇“新建→Dword(32位)值”,新建一個(gè)DWORD值(圖8);
隨后,將該新建值的名稱修改為DisplayLastLogonInfo,雙擊編輯DisplayLastLogonInfo值,將其“數(shù)值數(shù)據(jù)”修改為1,然后點(diǎn)擊“確定”(圖9)。這樣,當(dāng)下次登錄到計(jì)算機(jī)時(shí),將會(huì)首先看到上次登錄Windows的時(shí)間以及任何嘗試的失敗記錄,不論是自己登錄系統(tǒng)還是陌生人登錄系統(tǒng)的記錄,都會(huì)有所記錄和提示。
小提示:上述修改針對專業(yè)版以上的Windows 10系統(tǒng)。家庭版的Windows系統(tǒng)雖然沒有內(nèi)置組策略功能,但由于開啟了審核功能和事件跟蹤,因此不用執(zhí)行上述過程,仍不影響查看跟蹤事件。
安全審核無論對于個(gè)人計(jì)算機(jī)還是企業(yè)的系統(tǒng),都非常重要。由于審核日志能夠記錄是否有違反安全的事件發(fā)生,如果遭到入侵,正確的審核日志設(shè)置所生成的事件記錄,將包含非常有用的入侵信息,為進(jìn)一步研判入侵事件提供重要的依據(jù),因此,對資料安全比較敏感的個(gè)人或部門,要充分用好這一特性設(shè)置。
