Windows -operativsystemer har værktøjer, der giver os mulighed for at udføre flere handlinger på operativsystemet, såsom begrænsning af adgang, forhindring af programændringer, skjulning af systemelementer og mange flere.
En af de mest praktiske og grundlæggende muligheder for at udføre en korrekt styring af systemet er at kontrollere, hvilken bruger der har adgang til systemet for at kontrollere, om der er foretaget uautoriserede ændringer af en bestemt person eller ved at holde en detaljeret kontrol med ledelsesopgaver, revision eller sikkerhed.
Solvetic vil analysere, hvordan vi kan observere, hvilke brugere der har adgang til operativsystemet med detaljerede adgangsoplysninger. Med den følgende videoundervisning vil du være i stand til at hjælpe dig selv til gennem audits at kontrollere, hvem og på hvilket tidspunkt der har logget ind på en computer, som du administrerer og dermed forhindre eller løse sikkerhedsproblemer i Windows 10.
1. Aktiver logonrevision i Windows 10
Det første trin, der skal udføres, er at aktivere logning af begivenheder, der er forbundet med opstart, som som standard er deaktiveret i Windows. Til dette skal vi få adgang til den gruppepolitiske editor, der kun er tilgængelig for Pro-, Enterprise- og Education -udgaverne af Windows 10, Pro- og Enterprise -versionerne af Windows 7 og Windows 8.
Trin 1
For at få adgang til dem bruger vi følgende tastekombination, og i det viste vindue udfører vi kommandoen gpedit.msc. Vi trykker på Enter eller Accepter.
+ R
gpedit.msc
Trin 2
I det viste vindue går vi til følgende rute:
- Opsætning af udstyr
- Windows -indstillinger
- Sikkerhedsindstillinger
- Lokale direktiver
- Revisionsdirektiv
FORSTØRRE
Trin 3
I den højre kolonne vælger vi politikken kaldet Audit login events, vi dobbeltklikker på den, og følgende vindue vises, hvor vi kan aktivere to typer loginhændelser:
KorrektNår sessionen starter gnidningsløst
ForkertNår adgangskoden eller brugeren er indtastet forkert, og sessionen ikke kan startes
Trin 4
Klik på Anvend og OK for at gemme ændringerne. Vi kan se, at konfigurationen er blevet udført korrekt:
FORSTØRRE
2. Få adgang til logonhændelser i Windows 10
Det næste trin er at få adgang til Event Viewer, som alle Windows -udgaver bringer for at analysere de respektive logins.
Trin 1
For at få adgang til event viewer har vi i dette tilfælde i Windows 10 følgende alternativer:
Trin 2
Når vi får adgang til Event Viewer, går vi til stien "Windows Registers / Security", og vi vil se følgende:
FORSTØRRE
Trin 3
I denne fremviser skal vi fokusere på 4624 -koden, der er knyttet til logins, og når vi finder den, kan vi dobbeltklikke på den for at kende dens oplysninger i detaljer:
Vi kan finde detaljer som
- Navn på holdet
- Domæne, som det tilhører
- Valgt hændelses -id
- Begivenheds prioritetsniveau
- Bruger
- Dato og klokkeslæt, hvor adgangen til systemet blev udført
- Berørt udstyr
Øverst kan vi vise mange flere detaljer, der er knyttet til kontoen
Trin 4
Hvis vi ikke ønsker manuelt at søge efter de id'er, der er knyttet til logins, er det muligt at oprette en brugerdefineret visning, der kun filtrerer den pågældende begivenhed. Til dette klikker vi på knappen Opret brugerdefineret visning, og vælger der sikkerhedsindstillingen i boksen Hændelseslogfiler og indtaster ID'et i det respektive felt:
Trin 5
Klik på OK, vi tildeler denne visning et navn, og vi vil kunne se alle begivenhederne for det pågældende id:
FORSTØRRE
Med denne proces vil vi være i stand til at vide detaljeret, hvilken bruger og på hvilken nøjagtig dato, de fik adgang til systemet for at træffe de nødvendige foranstaltninger.
