呂梁

啟用Windows 10系統(tǒng)的審核功能后，系統(tǒng)就會跟蹤并記錄系統(tǒng)使用事件。利用系統(tǒng)審核功能，我們不僅可以根據(jù)系統(tǒng)運行狀態(tài)對故障進(jìn)行排除，還可以監(jiān)視用戶在計算機上進(jìn)行的操作。如果要判斷在自己沒有使用電腦的情況下，電腦是否被其他人登錄造訪，只要保證在開啟了系統(tǒng)登錄審核功能的情況下，借助Windows事件查看器就能一探究竟。

1.通過組策略開啟登錄審核功能

在默認(rèn)的情況下，Windows的登錄審核策略處于關(guān)閉狀態(tài)，我們需要首先開啟此功能。按下Win+R組合鍵啟動“運行”程序框，在運行框中輸入GPEDIT.MSC并回車，啟動組策略編輯器（圖1）。

在組策略編輯器的左側(cè)窗格導(dǎo)航欄內(nèi)，依次定位到“計算機配置→Windows設(shè)置→安全設(shè)置→本地策略”，然后單擊下屬的“審核策略”組，以顯示其包含的各種審核項目（圖2）。

接下來，雙擊右側(cè)窗格列表中的各種審核策略，尤其是“審核登錄事件”和“審核賬戶登錄事件”，在審核操作列表中，將“成功”和“失敗”選項均加以勾選，最后點擊“應(yīng)用”和“確認(rèn)”按鈕（圖3）。

2.通過事件查看器查看非法登錄

右鍵單擊Windows 10“開始”按鈕，然后點擊彈出菜單中的“事件查看器”選項，啟動事件查看器（圖4）。

在事件查看器窗口左側(cè)的導(dǎo)航欄內(nèi)，依次點擊“Windows日志→安全”;隨后，在中部窗格中會出現(xiàn)許多具有登錄日期和時間戳的條目（圖5）。由于每次登錄時，Windows會在數(shù)分鐘內(nèi)記錄許多登錄條目，故而可以此來判斷系統(tǒng)被執(zhí)行登錄操作的時間。

雙擊“任務(wù)類別”為Special Logon（特殊登錄）的條目，在打開的“時間屬性”窗口中，可看到登錄賬戶名、賬戶域等信息（圖6）。此外，通過事件窗口右側(cè)的“篩選當(dāng)前日志”鏈接，可根據(jù)情況有目的地篩選日志記錄，以便更快、更精準(zhǔn)地定位和深入研判登錄情況。

盡管可以在上述事件窗口中看到這些系統(tǒng)登錄的日志，但對于足夠聰明的入侵者來說，完全可以在訪問后清除掉所有的事件日志。為了預(yù)防這種情況的發(fā)生，我們可以通過設(shè)置，讓系統(tǒng)記住上次登錄的事件，并使這些信息不能被刪除。為此，需要借助于注冊表編輯器來完成任務(wù)。

按下Win+R組合鍵，啟動“運行”對話框，輸入REGEDIT打開注冊表編輯器。在注冊表編輯器內(nèi)，依次定位到“HKEY_LOCAL_MACHIKIE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼System”（圖7）;右鍵單擊System項，選擇“新建→DWORD（32位）值”，新建一個DWORD值（圖8）;隨后，將該新建值的名稱修改為DisplayLastLogonlnfo，雙擊編輯DisplayLastLogonlnfo值，將其“數(shù)值數(shù)據(jù)”修改為1，然后點擊“確定”（圖9）。這樣，當(dāng)下次登錄到計算機時，將會首先看到上次登錄Windows的時間以及任何嘗試的失敗記錄，不論是自己登錄系統(tǒng)還是陌生人登錄系統(tǒng)的記錄，都會有所記錄和提示。

安全審核無論對于個人計算機還是企業(yè)的系統(tǒng)，都非常重要。由于審核日志能夠記錄是否有違反安全的事件發(fā)生，如果遭到入侵，正確的審核日志設(shè)置所生成的事件記錄，將包含非常有用的入侵信息，為進(jìn)一步研判入侵事件提供重要的依據(jù)。因此，對資料安全比較敏感的個人或部門，要充分用好這一特性設(shè)置。