启用windows 10系统的审核功能后,系统就会跟踪并记录系统使用事件。利用系统审核功能,我们不仅可以根据系统运行状态对故障进行排除,还可以监视用户在计算机上进行的操作。如果要判断在自己没有使用电脑的情况下,电脑是否被其他人登录造访,只要保证在开启了系统登录审核功能的情况下,借助Windows事件查看器就能一探究竟。
1. 通过组策略开启登录审核功能
在默认的情况下,Windows的登录审核策略处于关闭状态,我们需要首先开启此功能。按下Win+R组合键启动“运行”程序框,在运行框中输入GPEDIT.MSC并回车,启动组策略编辑器(图1)。
在组策略编辑器的左侧窗格导航栏内,依次定位到“计算机配置→Windows设置→安全设置→本地策略”,然后单击下属的“审核策略”组,以显示其包含的各种审核项目(图2)。
接下来,双击右侧窗格列表中的各种审核策略,尤其是“审核登录事件”和“审核账户登录事件”,在审核操作列表中,将“成功”和“失败”选项均加以勾选,最后点击“应用”和“确认”按钮(图3)。
2. 通过事件查看器查看非法登录
右键单击Windows 10“开始”按钮,然后点击弹出菜单中的“事件查看器”选项,启动事件查看器(图4)。
在事件查看器窗口左侧导航栏内,依次点击“Windows日志→安全”;随后,在中部窗格中会出现许多具有登录日期和时间戳的条目(图5)。由于每次登录时,Windows会在数分钟内记录许多登录条目,故而可以此来判断系统被执行登录操作的时间。
双击“任务类别”为Special Logon(特殊登录)的条目,在打开的“时间属性“窗口中,可看到登录账户名、账户域等信息(图6)。此外,通过事件窗口右侧的“筛选当前日志”链接,可根据情况有目的地筛选日志记录,以便更快、更精准地定位和深入研判登录情况。
尽管可以在上述事件窗口中看到这些系统登录的日志,但对于足够聪明的入侵者来说,完全可以在访问后清除掉所有的事件日志。为了预防这种情况的发生,我们可以通过设置,让系统记住上次登录的事件,并使这些信息不能被删除。为此,需要借助于注册表编辑器来完成任务。
按下Win+R组合键,启动“运行”对话框,输入REGEDIT打开注册表编辑器。在注册表编辑器内,依次定位到“HKEY_LOCAL_macHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem”(图7);
右键单击System项,选择“新建→Dword(32位)值”,新建一个DWORD值(图8);
随后,将该新建值的名称修改为DisplayLastLogonInfo,双击编辑DisplayLastLogonInfo值,将其“数值数据”修改为1,然后点击“确定”(图9)。这样,当下次登录到计算机时,将会首先看到上次登录Windows的时间以及任何尝试的失败记录,不论是自己登录系统还是陌生人登录系统的记录,都会有所记录和提示。
小提示:上述修改针对专业版以上的Windows 10系统。家庭版的Windows系统虽然没有内置组策略功能,但由于开启了审核功能和事件跟踪,因此不用执行上述过程,仍不影响查看跟踪事件。
安全审核无论对于个人计算机还是企业的系统,都非常重要。由于审核日志能够记录是否有违反安全的事件发生,如果遭到入侵,正确的审核日志设置所生成的事件记录,将包含非常有用的入侵信息,为进一步研判入侵事件提供重要的依据,因此,对资料安全比较敏感的个人或部门,要充分用好这一特性设置。