Вы когда-нибудь задумывались, можно ли отслеживать действия пользователей по входу в систему в Windows, чтобы иметь возможность отслеживать, кто и когда вошел в систему? Это вполне возможно в системе Windows с использованием функции аудита входа в систему. Отслеживание действий пользователей при входе и выходе из системы очень полезно в серверных или организационных средах, где данные конфиденциальны, а также в ситуациях, когда вы просто хотите знать, «кто это сделал» в вашей системе Windows. По умолчанию функция аудита входа в Windows отключена. В этой статье давайте посмотрим, как включить аудит входа в систему и как просмотреть события отслеживания в системе Windows.
Примечание. Аудит входа доступен только в версиях Windows 8 Pro, Ultimate и Enterprise.
Что такое аудит входа
Аудит входа — это встроенный параметр групповой политики Windows, который позволяет администратору Windows регистрировать и проверять каждый случай входа и выхода пользователя из системы на локальном компьютере или в сети. Наряду с отслеживанием событий входа и выхода из системы эта функция также способна отслеживать любые неудачные попытки входа в систему. Это особенно полезно при определении и анализе любых атак на ваш компьютер с Windows.
Включить аудит входа в систему
Чтобы включить аудит входа в систему, нам необходимо настроить параметры групповой политики Windows. Нажмите «Win + R», введите gpedit.mscи нажмите кнопку «Ввод», чтобы открыть редактор групповой политики Windows.
В редакторе групповой политики перейдите в раздел «Конфигурация компьютера ->Настройки Windows ->Настройки безопасности ->Локальные политики», а затем выберите «Политика аудита» на левой панели.
Вышеуказанное действие покажет вам некоторые политики на правой панели. Здесь дважды щелкните политику «Аудит событий входа в систему», чтобы открыть ее. Не путайте «Аудит событий входа в систему» с «Аудит событий входа в учетную запись», поскольку это настройка совершенно для другой цели.
После открытия окна установите оба флажка «Успех» и «Неудача». Теперь нажмите кнопки «Применить» и «ОК», чтобы сохранить изменения.
Это все, что нужно сделать. С этого момента все попытки входа, выхода из системы и неудачные попытки входа будут регистрироваться в средстве просмотра событий как события.
Просмотр событий аудита входа
Вы можете просмотреть все события входа в систему, выхода из системы и неудачных попыток входа в систему в средстве просмотра событий Windows. Вы можете запустить программу просмотра событий, выполнив поиск в меню «Пуск». Если вы используете Windows 8, вы можете запустить ее с помощью меню опытного пользователя (Win + X).
После запуска средства просмотра событий перейдите к журналам Windows, а затем на вкладку «Безопасность».
Здесь вы найдете все события, связанные с безопасностью, которые произошли в вашей системе Windows. Если вы дважды щелкните ключевое слово «Успешный аудит», вы узнаете такие детали, как пользователь, который вошел в систему или вышел из системы, отметку времени и т. д. Совет: вы можете отфильтровать журналы событий, используя «Идентификатор события». или «Категория задачи». Как видно на изображении ниже, аудит входа также отслеживает любые неудачные попытки входа в систему.
Это все, что нужно сделать, и отслеживать входы пользователей в вашу систему Windows очень просто.
Надеюсь, это поможет. Оставьте комментарий ниже, если у вас возникнут какие-либо проблемы при включении функции аудита входа в Windows.
