Ви коли-небудь хотіли стежити за тим, хто і коли входив в систему, встановлену на вашому комп'ютері. На фахових виданнях Windows спеціально для цього існує політика аудиту входу, про яку ми зараз і поговоримо.
"Аудит подій входу в систему" відстежує як локальні, так і мережеві входи. При кожному вході визначається обліковий запис користувача і час, в яке відбувся вхід. Також ви зможете дізнатися, коли користувач вийшов з системи.
Включаємо "Аудит входу в систему"
По-перше, відкрийте "Редактор локальної групової політики" - відкрийте меню "Пуск", в пошуковий рядок введіть gpedit.msc і натисніть Enter.
У лівій частині вікна перейдіть за наступним шляхом: Конфігурація комп'ютера -> Конфігурація Windows -> Параметри безпеки -> Локальні політики -> Політика аудиту.
Двічі клікніть по політиці "Аудит подій входу в систему" в правій частині вікна. У діалоговому вікні "Властивості" відзначте галочкою параметр "Успіх" для того, щоб дозволити відстеження успішних входів в систему. Також ви можете включити параметр "Відмова" - так ви дозволите відстеження невдалих спроб входу.
Переглядаємо події входу в систему
Після включення цього параметра, Windows почне реєструвати (в журнал безпеки) всі події входу в систему, в тому числі ім'я користувача та час. Щоб побачити ці події, запустіть інструмент "Перегляд подій" - відкрийте меню "Пуск", в рядок пошуку введіть текст "Перегляд подій" і натисніть клавішу Enter.
Далі перейдіть в "Журнали Windows" і виберіть категорію "Безпека". Нас цікавлять події з кодом 4624 - це події успішного входу в систему.
Щоб побачити більше інформації, включаючи ім'я облікового запису користувача, що входив в систему, двічі клацніть по події. Прокручуючи вниз текстове поле, ви побачите всю необхідну інформацію.
Якщо ви хочете, щоб в журналі безпеки відображалися виключно події входу, натисніть на кнопку "Фільтрувати поточний журнал", яка розташована в бічній панелі справа і у вікні отфильтруйте події як на скріншоті нижче:
Відмінного Вам дня!