Windows-Betriebssysteme verfügen über Tools, mit denen wir mehrere Aktionen auf dem Betriebssystem ausführen können, z. B. den Zugriff einschränken, Programmänderungen verhindern, Systemelemente ausblenden und vieles mehr.
Eine der praktischsten und grundlegendsten Möglichkeiten für eine korrekte Verwaltung des Systems besteht darin, zu überprüfen, welcher Benutzer auf das System zugegriffen hat, um zu überprüfen, ob nicht autorisierte Änderungen von einer bestimmten Person vorgenommen wurden oder eine detaillierte Kontrolle für Verwaltungsaufgaben zu behalten, Audit oder Sicherheit.
Solvetic wird analysieren, wie wir mit detaillierten Zugriffsinformationen beobachten können, welche Benutzer auf das Betriebssystem zugegriffen haben. Mit dem folgenden Video-Tutorial können Sie sich selbst helfen, durch Audits zu überprüfen, wer sich zu welcher Zeit an einem von Ihnen verwalteten Computer angemeldet hat und so Sicherheitsprobleme in Windows 10 verhindern oder lösen.
1. Aktivieren Sie die Anmeldeüberwachung in Windows 10
Der erste Schritt besteht darin, die Protokollierung von Ereignissen im Zusammenhang mit Starts zu aktivieren, die in Windows standardmäßig deaktiviert ist. Dazu müssen wir auf den Gruppenrichtlinien-Editor zugreifen, der nur für die Pro-, Enterprise- und Education-Editionen von Windows 10, die Pro- und Enterprise-Versionen von Windows 7 und Windows 8 verfügbar ist.
Schritt 1
Um darauf zuzugreifen, verwenden wir die folgende Tastenkombination und führen im angezeigten Fenster den Befehl gpedit.msc aus. Wir drücken Enter oder Akzeptieren.
+ R
gpedit.msc
Schritt 2
Im angezeigten Fenster gehen wir auf folgende Route:
- Geräteaufbau
- Windows-Einstellungen
- Sicherheitseinstellungen
- Lokale Richtlinien
- Prüfungsrichtlinie
VERGRÖSSERN
Schritt 3
In der rechten Spalte wählen wir die Richtlinie Audit-Login-Ereignisse aus, doppelklicken darauf und das folgende Fenster wird angezeigt, in dem wir zwei Arten von Login-Ereignissen aktivieren können:
RichtigWenn die Sitzung reibungslos beginnt
FalschWenn das Passwort oder der Benutzer falsch eingegeben wurde und die Sitzung nicht gestartet werden kann
Schritt 4
Klicken Sie auf Übernehmen und OK, um die Änderungen zu speichern. Wir können sehen, dass die Konfiguration korrekt durchgeführt wurde:
VERGRÖSSERN
2. Zugriff auf Anmeldeereignisse in Windows 10
Der nächste Schritt besteht darin, auf die Ereignisanzeige zuzugreifen, die alle Windows-Editionen mitbringen, um die jeweiligen Logins zu analysieren.
Schritt 1
Um auf die Ereignisanzeige zuzugreifen, in diesem Fall in Windows 10, haben wir folgende Alternativen:
Schritt 2
Sobald wir auf die Ereignisanzeige zugreifen, gehen wir zum Pfad "Windows Registers / Security" und sehen Folgendes:
VERGRÖSSERN
Schritt 3
In diesem Viewer müssen wir uns auf den 4624-Code konzentrieren, der mit den Logins verbunden ist, und wenn wir ihn finden, können wir darauf doppelklicken, um seine Informationen im Detail zu erfahren:
Wir finden Details wie
- Name des Teams
- Domain, zu der es gehört
- Ausgewählte Ereignis-ID
- Ereignisprioritätsstufe
- Nutzer
- Datum und Uhrzeit, wann der Zugriff auf das System ausgeführt wurde
- Betroffene Geräte
Oben können wir viele weitere Details anzeigen, die mit dem Konto verbunden sind
Schritt 4
Wenn wir nicht manuell nach den mit den Anmeldungen verknüpften IDs suchen möchten, können Sie eine benutzerdefinierte Ansicht erstellen, die nur dieses Ereignis filtert. Dazu klicken wir auf die Schaltfläche Benutzerdefinierte Ansicht erstellen und wählen dort im Feld Ereignisprotokolle die Option Sicherheit aus und geben die ID in das entsprechende Feld ein:
Schritt 5
Klicken Sie auf OK, wir weisen dieser Ansicht einen Namen zu und können alle Ereignisse dieser bestimmten ID sehen:
VERGRÖSSERN
Mit diesem Verfahren können wir im Detail wissen, welcher Benutzer und zu welchem Datum genau auf das System zugegriffen hat, um die erforderlichen Maßnahmen zu ergreifen.
