Sistemele de operare Windows au instrumente care ne permit să efectuăm mai multe acțiuni asupra sistemului de operare, cum ar fi restricționarea accesului, prevenirea modificării programului, ascunderea elementelor sistemului și multe altele.
Una dintre cele mai practice și fundamentale opțiuni pentru a efectua o gestionare corectă a sistemului este de a verifica utilizatorul care a accesat sistemul pentru a verifica dacă au fost făcute modificări neautorizate de către cineva în special sau păstrând un control detaliat pentru sarcinile de gestionare, audit sau securitate.
Solvetic va analiza modul în care putem observa ce utilizatori au accesat sistemul de operare cu informații detaliate de acces. Cu următorul tutorial video vă veți putea ajuta, prin audituri, să verificați cine și la ce oră s-a conectat la un computer pe care îl gestionați și astfel să preveniți sau să rezolvați probleme de securitate în Windows 10.
1. Activați auditul de conectare în Windows 10
Primul pas pe care trebuie să îl efectuați este să activați înregistrarea evenimentelor asociate cu pornirile, care în mod implicit este dezactivată în Windows. Pentru aceasta trebuie să accesăm editorul de politici de grup, care este disponibil numai pentru edițiile Pro, Enterprise și Education ale Windows 10, versiunile Pro și Enterprise ale Windows 7 și Windows 8.
Pasul 1
Pentru a le accesa vom folosi următoarea combinație de taste și în fereastra afișată vom executa comanda gpedit.msc. Apăsăm Enter sau Accept.
+ R
gpedit.msc
Pasul 2
În fereastra afișată mergem la următorul traseu:
- Configurarea echipamentului
- Setări Windows
- Setări de securitate
- Directivele locale
- Directiva de audit
MARI
Pasul 3
În coloana din dreapta vom selecta politica numită Auditarea evenimentelor de conectare, vom face dublu clic pe ea și va fi afișată următoarea fereastră unde putem activa două tipuri de evenimente de conectare:
CorectCând sesiunea începe fără probleme
GresitCând parola sau utilizatorul sunt introduse incorect și sesiunea nu poate fi pornită
Pasul 4
Faceți clic pe Aplicare și OK pentru a salva modificările. Putem vedea că configurația a fost efectuată corect:
MARI
2. Accesați evenimente de conectare în Windows 10
Următorul pas este să accesați Vizualizatorul de evenimente pe care îl aduc toate edițiile Windows pentru a analiza datele de conectare respective.
Pasul 1
Pentru a accesa vizualizatorul de evenimente, în acest caz în Windows 10, avem următoarele alternative:
Pasul 2
Odată ce accesăm vizualizatorul de evenimente, mergem la calea „Windows Registers / Security” și vom vedea următoarele:
MARI
Pasul 3
În acest vizualizator trebuie să ne concentrăm asupra codului 4624 care este asociat cu datele de conectare și, atunci când îl localizăm, putem face dublu clic pe el pentru a cunoaște informațiile sale în detaliu:
Putem găsi detalii precum
- Numele echipei
- Domeniul căruia îi aparține
- ID eveniment selectat
- Nivelul priorității evenimentului
- Utilizator
- Data și ora când a fost executat accesul la sistem
- Echipamente afectate
În partea de sus putem afișa mai multe detalii asociate contului
Pasul 4
Dacă nu dorim să căutăm manual ID-urile asociate conectărilor, este posibil să creăm o vizualizare personalizată care să filtreze doar acel eveniment. Pentru aceasta, facem clic pe butonul Creare vizualizare personalizată și acolo selectăm opțiunea Securitate în caseta Jurnalele evenimentelor și introducem ID-ul în câmpul respectiv:
Pasul 5
Faceți clic pe OK, vom atribui un nume vizualizării respective și vom putea vedea toate evenimentele acelui ID:
MARI
Cu acest proces vom putea cunoaște în detaliu ce utilizator și la ce dată exactă au accesat sistemul pentru a lua măsurile necesare.
