Вы когда-нибудь хотели отслеживать, кто входит в ваш компьютер и когда? В профессиональных выпусках Windows вы можете включить аудит входа в систему, чтобы Windows отслеживала, какие учетные записи пользователей входят в систему и когда.
Параметр Audit logon events отслеживает как локальный, так и сетевой вход. Каждое событие входа в систему указывает учетную запись пользователя, который вошел в систему и время входа в систему. Вы также можете увидеть, когда пользователи вышли из системы.
Примечание. Аудит входа в систему работает только в профессиональной версии Windows, поэтому вы не можете использовать ее, если у вас есть домашняя версия. Это должно работать в Windows 7, 8 и Windows 10. Мы собираемся рассказать о Windows 10 в этой статье. Экраны могут выглядеть немного иначе в других версиях, но процесс почти такой же.
Включить аудит входа в систему
Чтобы включить аудит входа в систему, вы собираетесь использовать редактор локальной групповой политики. Это довольно мощный инструмент, поэтому, если вы никогда не использовали его раньше, стоит потратить некоторое время на изучение того, что он может делать. Кроме того, если вы находитесь в сети компании, сделайте всем одолжение и сначала проконсультируйтесь с вашим администратором. Если ваш рабочий компьютер является частью домена, вполне вероятно, что он является частью групповой политики домена, которая в любом случае заменит локальную групповую политику.
Чтобы открыть редактор локальной групповой политики, нажмите «Пуск», введите « gpedit.msc, « и выберите полученную запись.
В редакторе локальной групповой политики в левой панели перейдите к Политике локального компьютера> Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Политика аудита. В правой панели дважды щелкните параметр «Аудит событий входа в систему».
В открывшемся окне свойств включите опцию «Успешно», чтобы Windows регистрировала успешные попытки входа в систему. Включите опцию «Отказ», если вы также хотите, чтобы Windows регистрировала неудачные попытки входа. Нажмите кнопку «ОК», когда вы закончите.
Теперь вы можете закрыть окно редактора локальной групповой политики.
Просмотр событий входа
После включения аудита входа в систему Windows записывает эти события входа в систему – вместе с именем пользователя и отметкой времени – в журнал безопасности. Вы можете просматривать эти события с помощью Event Viewer.
Нажмите «Пуск», введите «событие», а затем нажмите «Просмотр событий».
В окне «Просмотр событий» в левой панели перейдите к «Журналы Windows»> «Безопасность».
На средней панели вы, скорее всего, увидите ряд событий «Успех аудита». Windows регистрирует отдельные данные для таких вещей, как, например, когда учетная запись, с которой кто-то подписывается, успешно получает свои привилегии. Вы ищете события с идентификатором 4624 – они представляют собой успешные события входа в систему. Вы можете увидеть подробности о выбранном событии в нижней части этой средней панели, но вы также можете дважды щелкнуть событие, чтобы увидеть его подробности в их собственном окне.
И если вы прокрутите чуть-чуть детали, вы увидите информацию, которая вам нужна – например, имя учетной записи пользователя.
И поскольку это просто еще одно событие в журнале событий Windows с определенным идентификатором события, вы также можете использовать планировщик заданий для выполнения действий при входе в систему. Вы даже можете получить по электронной почте Windows, когда кто-то входит в систему.
