Ви коли-небудь хотіли стежити за тим, хто і коли входив у систему, встановлену на вашому комп'ютері. На фахових виданнях Windows спеціально для цього існує політика аудиту входу, про яку ми зараз і поговоримо.
«Аудит подій входу в систему» відстежує як локальні, так і мережеві входи. При кожному вході визначається обліковий запис користувача і час, у який відбувся вхід. Також ви зможете дізнатися, коли користувач вийшов з системи.
По-перше, відкрийте Редактор локальної групової політики» – відкрийте меню «Пуск», в пошуковий рядок введіть gpedit.msc і натисніть Enter.
У лівій частині вікна перейдіть за наступним шляхом: Конфігурація комп'ютера -> Конфігурація Windows -> Параметри безпеки -> Локальні політики -> Політика аудиту.
Двічі клікніть по політиці «Аудит подій входу в систему» в правій частині вікна. У діалоговому вікні «Властивості» відмітьте параметр «Успіх» для того, щоб дозволити відстеження успішних входів в систему. Також ви можете увімкнути параметр «Відмова» – так ви дозволите відстеження невдалих спроб входу.
Після включення цього параметра, Windows почне реєструвати (в журнал безпеки) всі події входу в систему, у тому числі ім'я користувача і час. Щоб побачити ці події, запустіть інструмент «Перегляд подій» – відкрийте меню «Пуск», у рядку пошуку введіть «Перегляд подій» і натисніть клавішу Enter.
Далі перейдіть в «Журнали Windows» і виберіть категорію «Безпека». Нас цікавлять події з кодом 4624 – це події успішного входу в систему.
Щоб побачити більше інформації, включаючи ім'я облікового запису користувача, який входив у систему, двічі клацніть по події. Прокручував вниз текстове поле, ви побачите всю необхідну інформацію.
Якщо ви хочете, щоб в журналі безпеки відображалися виключно події входу, натисніть на кнопку «Фільтрувати поточний журнал», яка розташована в бічній панелі праворуч і у вікні відфільтруйте події як на скріншоті нижче: