Funzionalità multiutente in finestre ci ha permesso di usarlo comodamente in luoghi pubblici come scuole, college, uffici, ecc. In questi luoghi, c'è generalmente un amministratore, che riesce a tenere d'occhio le attività degli utenti che vi lavorano. A volte, gli utenti superano i loro limiti e modificano gli account configurati in modalità Gruppo di lavoro. Questo può avere ripercussioni sulla sicurezza, e quindi dovremmo configurare finestre per rintracciare le attività dell'utente.
Configurando Windows per monitorare le attività degli utenti, possiamo aumentare la sicurezza dell'amministrazione e anche punire gli utenti vittima osservando i loro record in caso di reato. In questo articolo, ti spiegheremo come tracciare le attività degli utenti in Windows 10 / 8.1 / 8/7 usando la politica di revisione. Ecco come:
Tieni traccia delle attività degli utenti utilizzando la politica di controllo
1. stampa Tasto Windows + R combinazione, tipo put secpol.msc nel Correre finestra di dialogo e colpisci accedere per aprire il Politica di sicurezza locale.
2. Nel Politica di sicurezza locale finestra, espandere Impostazioni di sicurezza -> Politiche locali -> Politica di audit. Ora dovresti avere la tua finestra simile a questa:
3. Nel riquadro di destra, puoi vedere 9 Audit … le politiche hanno Nessun controllo come predefinito impostazione di sicurezza. Fare clic una ad una tutte le politiche ed effettuare la selezione Successo e Fallimento, clicca Applicare seguito da ok per ogni politica.
Segui questi passaggi per ottenere i record tracciati:
Traccia attività utente utilizzando il Visualizzatore eventi
1. stampa Tasto Windows + R combinazione, tipo put eventvwr in Correre finestra di dialogo e colpisci accedere per aprire il Visualizzatore eventi.
2. Ora, nel Viewe degli eventir finestra, dal riquadro di sinistra, selezionare Registri di Windows -> Sicurezza. Qui Windows registra tutti gli eventi relativi alla sicurezza.
3. Dal riquadro centrale, fai clic su qualsiasi evento per ottenere le sue informazioni:
1. Creare un utente: Di seguito sono riportati gli ID evento che vengono registrati quando l'utente viene creato.
- ID evento: 4728 | Genere: Audit Success | Categoria: Gestione dei gruppi di sicurezza | Descrizione: Un membro è stato aggiunto a un gruppo globale abilitato alla sicurezza.
- ID evento: 4720 | Genere: Audit Success | Categoria: Gestione degli account utente | Descrizione: È stato creato un account utente.
- ID evento: 4722 | Genere: Audit Success | Categoria: Gestione degli account utente | Descrizione: Un account utente è stato abilitato.
- ID evento: 4738 | Genere: Audit di successo | Categoria: Gestione degli account utente | Descrizione: Un account utente è stato modificato.
- ID evento: 4732 | Genere: Audit di successo | Categoria:Gestione dei gruppi di sicurezza | Descrizione: Un membro è stato aggiunto a un gruppo locale abilitato alla sicurezza.
2. Elimina utente: Di seguito sono riportati gli ID evento che vengono registrati quando l'utente viene eliminato.
- ID evento: 4733 | Genere: Audit di successo | Categoria:Gestione dei gruppi di sicurezza | Descrizione: Un membro è stato rimosso da un gruppo locale abilitato alla sicurezza.
- ID evento: 4729 | Genere: Audit di successo | Categoria:Gestione dei gruppi di sicurezza | Descrizione: Un membro è stato aggiunto a un gruppo globale abilitato alla sicurezza.
- ID evento: 4726 | Genere: Audit di successo | Categoria:Gestione degli account utente | Descrizione: Un account utente è stato cancellato.
3. Account utente disabilitato: Di seguito sono riportati gli ID evento che vengono registrati quando l'utente è disabilitato.
- ID evento: 4725 | Genere: Audit di successo | Categoria:Gestione degli account utente | Descrizione: Un account utente è stato disabilitato.
- ID evento: 4738 | Genere: Audit di successo | Categoria:Gestione degli account utente | Descrizione: Un account utente è stato modificato.
4. Account utente abilitato: Di seguito sono riportati gli ID evento che vengono registrati quando l'utente è abilitato.
- ID evento: 4722 | Genere: Audit di successo | Categoria:Gestione degli account utente | Descrizione: Un account utente è stato abilitato.
- ID evento: 4738 | Genere: Audit di successo | Categoria:Gestione degli account utente | Descrizione: Un account utente è stato modificato.
5. Reimpostazione della password dell'account utente: Di seguito sono riportati gli ID evento che vengono registrati quando viene ripristinata la password dell'account utente.
- ID evento: 4738 | Genere: Audit di successo | Categoria:Gestione degli account utente | Descrizione: Un account utente è stato modificato.
- ID evento: 4724 | Genere: Audit di successo | Categoria:Gestione degli account utente | Descrizione: È stato effettuato un tentativo di reimpostare la password di un account.
6. Set di profili del profilo dell'account utente: Di seguito è riportato l'ID evento che viene registrato quando il percorso del profilo viene impostato per un account utente.
ID evento: 4738 | Genere: Audit di successo | Categoria:Gestione degli account utente | Descrizione: Un account utente è stato modificato.
7. Rinomina account utente: Di seguito sono riportati gli ID evento che vengono registrati quando l'account utente viene rinominato.
- ID evento: 4781 | Genere: Audit di successo | Categoria:Gestione degli account utente | Descrizione: Il nome di un account è stato modificato.
- ID evento: 4738 | Genere: Audit di successo | Categoria:Gestione degli account utente | Descrizione: Un account utente è stato modificato.
8. Crea gruppo locale: Di seguito sono riportati gli ID evento che vengono registrati quando viene creato il gruppo locale.
- ID evento: 4731 | Genere: Audit di successo | Categoria:Gestione dei gruppi di sicurezza | Descrizione: È stato creato un gruppo locale abilitato alla sicurezza
- ID evento: 4735 | Genere: Audit di successo | Categoria:Gestione dei gruppi di sicurezza | Descrizione: È stato modificato un gruppo locale abilitato alla sicurezza
9. Aggiungi utente al gruppo locale: Di seguito è riportato l'ID evento che viene registrato quando l'utente viene aggiunto al gruppo Locale.
ID evento: 4732 | Genere: Audit di successo | Categoria:Gestione dei gruppi di sicurezza | Descrizione: Un membro è stato aggiunto a un gruppo locale abilitato alla sicurezza
10. Rimuovi utente dal gruppo locale: Di seguito è riportato l'ID evento che viene registrato quando l'utente viene rimosso dal gruppo Locale.
ID evento: 4733 | Genere: Audit di successo | Categoria: Gestione dei gruppi di sicurezza | Descrizione: Un membro è stato rimosso da un gruppo locale abilitato alla sicurezza
11. Elimina gruppo locale: Di seguito è riportato l'ID evento che viene registrato quando viene eliminato il gruppo locale.
ID evento: 4734 | Genere: Audit di successo | Categoria:Gestione dei gruppi di sicurezza | Descrizione: Un gruppo locale abilitato alla sicurezza è stato eliminato
12. Rinomina gruppo locale: Di seguito sono riportati gli ID evento che vengono registrati quando il gruppo locale viene rinominato.
- ID evento: 4781 | Genere: Audit di successo | Categoria:Gestione degli account utente | Descrizione: Il nome di un account è stato modificato
- ID evento: 4735 | Genere: Audit di successo | Categoria:Gestione dei gruppi di sicurezza | Descrizione: È stato modificato un gruppo locale abilitato alla sicurezza
In questo modo, puoi tracciare gli utenti con le loro attività. Questo articolo è applicabile a Windows 10 / 8.1 in modalità Gruppo di lavoro. Per il dominio Active Directory, la procedura sarà diversa.
Articoli correlati:
- Event Log Manager: software di gestione del registro eventi gratuito
- Comandi WMI su Windows 10/8/7
- Che cos'è AuditPol in Windows 10/8/7 e come abilitarlo
- Monitora il tuo computer e i tuoi documenti usando i Criteri di gruppo
- Suggerimenti per la gestione dei criteri di gruppo per i professionisti IT in Windows
