Включить мониторинг действий пользователей windows

Обновлено: 04.07.2024

Многопользовательская функциональность в Windows позволила нам удобно использовать ее в общественных местах, таких как школа, колледжи, офисы и т. Д. В этих местах обычно есть администратор, которому удается следить за деятельность пользователей, работающих в нем. Иногда пользователи выходят за свои пределы и изменяют учетные записи, настроенные в режиме рабочей группы. Это может иметь последствия для безопасности, и поэтому мы должны настроить Windows для отслеживания действий пользователя.

Настраивая Windows для мониторинга действий пользователей, мы можем повысить безопасность администрации, а также наказать пользователей-жертв, наблюдая за их записями в случае нарушения. В этой статье мы расскажем вам, как отслеживать действия пользователей в Windows 10/8.1/8/7 с помощью политики аудита. Вот как:

Отслеживание активности пользователей с помощью политики аудита

1. Нажмите сочетание клавиш Windows + R , введите secpol.msc в диалоговом окне Выполнить и нажмите Введите , чтобы открыть Локальную политику безопасности .

2. В окне Локальная политика безопасности разверните Настройки безопасности -> Локальные политики -> Аудит Политика . Теперь вы должны получить окно, похожее на это:

3. На правой панели вы можете увидеть 9 Аудит… [] , в которых Нет аудита как . > предопределенный параметр безопасности. Выберите один за другим все политики и выберите Успех и Сбой , нажмите Применить , а затем нажмите ОК для каждая политика.

Таким образом, мы настроим Windows для отслеживания активности пользователей.

Выполните следующие шаги, чтобы получить отслеженные записи:

Отслеживание активности пользователя с помощью средства просмотра событий

1. Нажмите комбинацию Windows + R , введите eventvw r в диалоговом окне Выполнить и нажмите . Введите , чтобы открыть Просмотр событий .

2. Теперь в окне Просмотр событий r на левой панели выберите Журналы Windows -> Безопасность . , Здесь Windows ведет учет каждого события, касающегося безопасности.

3. На центральной панели щелкните любое событие, чтобы получить его информацию:

Теперь вот список идентификаторов событий, который охватывает действия пользователей для учетных записей в режиме рабочей группы:

1. Создать пользователя . Ниже приведены идентификаторы событий, которые регистрируются при создании пользователя.

Идентификатор события: 4728 | Тип: Аудит успешно выполнен | Категория : управление группами безопасности | Описание . Участник добавлен в глобальную группу с включенной безопасностью.

Идентификатор события: 4720 | Тип: Аудит успешно выполнен | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя создана.

Идентификатор события: 4722 | Тип: Аудит успешно выполнен | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя включена.

Идентификатор события: 4738 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя была изменена.

Идентификатор события: 4732 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Участник добавлен в локальную группу с включенной безопасностью.

2. Удалить пользователя . Ниже приведены идентификаторы событий, которые регистрируются при удалении пользователя.

Идентификатор события: 4733 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Член удален из локальной группы с включенной безопасностью.

Идентификатор события: 4729 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Участник добавлен в глобальную группу с включенной безопасностью.

Идентификатор события: 4726 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя удалена.

3. Учетная запись пользователя отключена . Ниже приведены идентификаторы событий, которые регистрируются при отключении пользователя.

Идентификатор события: 4725 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя отключена.

Идентификатор события: 4738 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя была изменена.

4. Учетная запись пользователя включена . Ниже приведены идентификаторы событий, которые регистрируются при включении пользователя.

Идентификатор события: 4722 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя включена.

Идентификатор события: 4738 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя была изменена.

5. Сброс пароля учетной записи пользователя . Ниже приведены идентификаторы событий, которые регистрируются при сбросе пароля учетной записи пользователя.

Идентификатор события: 4738 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя была изменена.

Идентификатор события: 4724 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Была предпринята попытка сбросить пароль учетной записи.

6. Путь к профилю учетной записи пользователя: . Ниже указан идентификатор события, который регистрируется, когда путь к профилю пользователя устанавливается для учетной записи пользователя.

Идентификатор события: 4738 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя была изменена.

7. Переименование учетной записи пользователя . Ниже приведены идентификаторы событий, которые регистрируются при переименовании учетной записи пользователя.

Идентификатор события: 4781 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Имя учетной записи было изменено.

Идентификатор события: 4738 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Учетная запись пользователя была изменена.

8. Создать локальную группу . Ниже приведены идентификаторы событий, которые регистрируются при создании локальной группы.

Идентификатор события: 4731 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Создана локальная группа с включенной безопасностью.

Идентификатор события: 4735 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание: локальная группа с включенной безопасностью была изменена

9. Добавить пользователя в локальную группу . Ниже приводится идентификатор события, который регистрируется при добавлении пользователя в локальную группу.

Идентификатор события: 4732 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Участник добавлен в локальную группу с включенной безопасностью.

10. Удалить пользователя из локальной группы . Ниже приведен идентификатор события, который регистрируется при удалении пользователя из локальной группы.

Идентификатор события: 4733 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Член удален из локальной группы с включенной безопасностью.

11. Удалить локальную группу . Ниже указан идентификатор события, который регистрируется при удалении локальной группы.

Идентификатор события: 4734 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание . Удалена локальная группа с включенной безопасностью

12. Переименовать локальную группу . Ниже приведены идентификаторы событий, которые регистрируются при переименовании локальной группы.

Идентификатор события: 4781 | Тип: Аудит успеха | Категория : управление учетными записями пользователей | Описание . Имя аккаунта было изменено.

Идентификатор события: 4735 | Тип: Аудит успеха | Категория : управление группами безопасности | Описание: локальная группа с включенной безопасностью была изменена

Таким образом, вы можете отслеживать пользователей по их действиям. Эта статья применима для Windows 10/8.1 в режиме рабочей группы. Для домена Active Directory процедура будет другой.

В предыдущей статье был составлен список из 80 инструментов для мониторинга Linux системы. Был смысл также сделать подборку инструментов для системы Windows. Ниже будет приведен список, который служит всего лишь отправной точкой, здесь нет рейтинга.

1. Task Manager

Всем известный диспетчер задач Windows — утилита для вывода на экран списка запущенных процессов и потребляемых ими ресурсов. Но знаете ли Вы, как использовать его весь потенциал? Как правило, с его помощью контролируют состояние процессора и памяти, но можно же пойти гораздо дальше. Это приложение предварительно на всех операционных системах компании Microsoft.

2. Resource Monitor

Великолепный инструмент, позволяющий оценить использование процессора, оперативной памяти, сети и дисков в Windows. Он позволяет быстро получить всю необходимую информацию о состоянии критически важных серверов.

3. Performance Monitor

Основной инструмент для управления счетчиками производительности в Windows. Performance Monitor, в более ранних версиях Windows известен нам как Системный монитор. Утилита имеет несколько режимов отображения, выводит показания счетчиков производительности в режиме реального времени, сохраняет данные в лог-файлы для последующего изучения.

4.Reliability Monitor

Reliability Monitor — Монитор стабильности системы, позволяет отслеживать любые изменения в производительности компьютера, найти монитор стабильности можно в Windows 7, в Windows 8: Control Panel > System and Security > Action Center. С помощью Reliability Monitor можно вести учет изменений и сбоев на компьютере, данные будут выводиться в удобном графическом виде, что позволит Вам отследить, какое приложение и когда вызвало ошибку или зависло, отследить появление синего экрана смерти Windows, причину его появления (очередное обновлением Windows или установка программы).

5. Microsoft SysInternals

SysInternals — это полный набор программ для администрирования и мониторинга компьютеров под управлением ОС Windows. Вы можете скачать их себе бесплатно на сайте Microsoft. Сервисные программы Sysinternals помогают управлять, находить и устранять неисправности, выполнять диагностику приложений и операционных систем Windows.

6. SCOM (part of Microsoft System Center)

System Center — представляет собой полный набор инструментов для управления IT-инфраструктурой, c помощью которых Вы сможете управлять, развертывать, мониторить, производить настройку программного обеспечения Microsoft (Windows, IIS, SQLServer, Exchange, и так далее). Увы, MSC не является бесплатным. SCOM используется для проактивного мониторинга ключевых объектов IT-инфраструктуры.

Мониторинг Windows серверов с помощью семейства Nagios

Nagios является самым популярным инструментом мониторинга инфраструктуры в течение нескольких лет (для Linux и Windows). Если Вы рассматриваете Nagios для Windows, то установите и настройте агент NSClient ++ на Windows сервер. NSClient ++ мониторит систему в реальном времени и предоставляет выводы с удаленного сервера мониторинга и не только.

Обычно используется вместе с Nagios, предоставляет пользователю удобный веб-интерфейс к утилите RRDTool, предназначенной для работы с круговыми базами данных (Round Robin Database), которые используются для хранения информации об изменении одной или нескольких величин за определенный промежуток времени. Статистика в сетевых устройств, представлена в виде дерева, структура которого задается самим пользователем, можно строить график использования канала, использования разделов HDD, отображать латентость ресурсов и т.д.

Гибкая, масштабируемая система мониторинга с открытым исходным кодом, основанная на ядре Nagios, написанном на Python. Она в 5 раз быстрее чем Nagios. Shinken совместима с Nagios, возможно использование ее плагинов и конфигураций без внесения коррективов или дополнительной настройки.

Еще одна популярная открытая система мониторинга, которая проверяет хосты и сервисы и сообщает администратору их состояние. Являясь ответвлением Nagios, Icinga совместима с ней и у них много общего.

OpsView изначально был бесплатен. Сейчас, увы, пользователям данной системой мониторинга приходится раскошеливаться.

Op5 еще одна система мониторинга с открытым исходным кодом. Построение графиков, хранение и сбор данных.

Альтернативы Nagios

Открытое программное обеспечение для мониторинга и отслеживания статусов разнообразных сервисов компьютерной сети, серверов и сетевого оборудования, используется для получения данных о нагрузке процессора, использования сети, дисковом пространстве и тому подобного.

Неплохая система мониторинга, собирает данные с нескольких серверов одновременно и отображает все в виде графиков, с помощью которых можно отслеживать все прошедшие события на сервере.

Написан на языке Python с использованием сервера приложений Zope, данные хранятся в MySQL. С помощью Zenoss можно
мониторить сетевые сервисы, системные ресурсы, производительность устройств, ядро Zenoss анализирует среду. Это дает возможность быстро разобраться с большим количеством специфических устройств.

16. Observium

Система мониторинга и наблюдения за сетевыми устройствами и серверами, правда список поддерживаемых устройств огромен и не ограничивается только сетевыми устройствами, устройство должно поддерживать работу SNMP.

17. Centreon

Комплексная система мониторинга, позволяет контролировать всю инфраструктуру и приложения, содержащие системную информацию. Бесплатная альтернатива Nagios.

Ganglia — масштабируемая распределенная система мониторинга, используется в высокопроизводительных вычислительных системах, таких как кластеры и сетки. Отслеживает статистику и историю вычислений в реальном времени для каждого из наблюдаемых узлов.

19. Pandora FMS

Система мониторинга, неплохая продуктивность и масштабируемость, один сервер мониторинга может контролировать работу нескольких тысяч хостов.

Программное обеспечение с открытым кодом для мониторинга компьютерных систем и сетей.

OpenNMS платформа мониторинга. В отличие от Nagios, поддерживает SNMP, WMI и JMX.

22. HypericHQ

Компонент пакета VMware vRealize Operations, используется для мониторинга ОС, промежуточного ПО и приложений в физических, виртуальных и облачных средах. Отображает доступность, производительность, использование, события, записи журналов и изменений на каждом уровне стека виртуализации (от гипервизора vSphere до гостевых ОС).

Система мониторинга и оповещения (alert system) с открытым кодом от StackExchange. В Bosun продуманная схема данных, а также мощный язык их обработки.

Sensu система оповещения с открытым исходным кодом, похожа на Nagios. Имеется простенький dashboard, можно увидеть список клиентов, проверок и сработавших алертов. Фреймворк обеспечивает механизмы, которые нужны для сбора и накопления статистики работы серверов. На каждом сервере запускается агент (клиент) Sensu, использующий набор скриптов для проверки работоспособности сервисов, их состояния и сбора любой другой информации.

25. CollectM

CollectM собирает статистику об использовании ресурсов системы каждые 10 секунд. Может собирать статистику для нескольких хостов и отсылать ее на сервер, информация выводится с помощью графиков.

26. PerfTrap

PerfTrap собирает метрики с серверов, и с помощью Graphite производится визуализация собранных данных.

27. WMIagent

Если Вы фанат Python, WMIagent для Вас.

28. Performance Analysis of Logs (PAL) Tool

PAL — мощный инструмент, который мониторит производительность и анализирует ее.

30. Cloud Ninja Metering Block

Cloud Ninja Metering Block производит анализ производительности и автоматическое масштабирование мультитенантных приложений в Windows Azure. Такой анализ включает в себя не только определение или проверку счетов за использование ресурсов от Windows Azure, но и оптимизацию ресурсов.

Enigma — красивое приложение, которое поможет Вам следить за всеми важных показателями прямо с рабочего стола.

Платные решения

32. SSC Serv

SSC Serv платный инструмент мониторинга.

33. KS-HostMonitor

Инструменты для мониторинга сетевых ресурсов, позволяет проверять любые параметры серверов, гибкие профили действия позволяют действовать в зависимости от результатов тестов.

34. Total Network Monitor

PRTG — простая в использовании, условно-бесплатная программа для мониторинга сети, собирает различные статистические данные с компьютеров, программ и устройств, которые Вы указываете, поддерживает множество протоколов для сбора указанных сведений, таких как SNMP и WMI.

36. GroundWork

37. WhatsUpGold

Это мощное, простое в использовании программное средство для комплексного мониторинга приложений, сети и систем. Позволяет производить поиск и устранение проблем до того, как они повлияют на работу пользователей.

Поддерживает несколько операционных систем и технологий виртуализации. Есть много бесплатных тулзов, с помощью которых можно мониторить систему.

39. PowerAdmin

PowerAdmin является коммерческим решением для мониторинга.

40. ELM Enterprise Manager

ELM Enterprise Manager — полный мониторинг от «что случилось» до «что происходит» в режиме реального времени. Инструменты мониторинга в ELM включают — Event Collector, Performance Monitor, Service Monitor, Process Monitor, File Monitor, PING Monitor.

41. EventsEntry

42. Veeam ONE

Эффективное решение для мониторинга, создания отчетов и планирования ресурсов в среде VMware, Hyper-V и инфраструктуре Veeam Backup & Replication, контролирует состояние IT-инфраструктуры и диагностирует проблемы до того, как они помешают работе пользователей.

43. CA Unified Infrastructure Management (ранее CA Nimsoft Monitor, Unicenter)

Мониторит производительность и доступность ресурсов Windows сервера.

44. HP Operations Manager

Это программное обеспечение для мониторинга инфраструктуры, выполняет превентивный анализ первопричин, позволяет сократить время на восстановление и расходы на управление операциями. Решение идеально для автоматизированного мониторинга.

45. Dell OpenManage

OpenManage (теперь Dell Enterprise Systems Management) «все-в-одном продукт» для мониторинга.

46. Halcyon Windows Server Manager

47. Topper Perfmon

Используется для мониторинга серверов, контролирует процессы, их производительность.

48. BMC Patrol

Система мониторинга и управления управления IT — инфраструктурой.

49. Max Management

50. ScienceLogic

ScienceLogic еще одна система мониторинга.

Менеджмент и мониторинг сетей, приложений и инфраструктуры.

Ниже приведен список (наиболее популярных) инструментов для мониторинга сети

Nedi является инструментом мониторинга сети с открытым исходным кодом.

54. The Dude

Система мониторинга Dude, хоть и бесплатна, но по мнению специалистов, ни в чем не уступает коммерческим продуктам, мониторит отдельные серверы, сети и сетевые сервисы.

55. BandwidthD

Программа с открытым исходным кодом.

Расширение для Nagios, позволяет создавать карты инфраструктуры и отображать их статус. NagVis поддерживает большое количество различных виджетов, наборов иконок.

57. Proc Net Monitor

Бесплатное приложение для мониторинга, позволяет отследить все активные процессы и при необходимости быстро остановить их, чтобы снизить нагрузку на процессор.

58. PingPlotter

Используется для диагностики IP-сетей, позволяет определить, где происходят потери и задержки сетевых пакетов.

Маленькие, но полезные инструменты

Список не был бы полным без упоминания нескольких вариантов аппаратного мониторинга.

59. IPMIutil

60. Glint Computer Activity Monitor

61. RealTemp

Утилита для мониторинга температур процессоров Intel, она не требует инсталляции, отслеживает текущие, минимальные и максимальные значения температур для каждого ядра и старт троттлинга.

62. SpeedFan

Утилита, которая позволяет контролировать температуру и скорости вращения вентиляторов в системе, следит за показателями датчиков материнской платы, видеокарты и жестких дисков.

Существует множество причин для отслеживания активности пользователей за компьютером в Windows, включая мониторинг активности ваших детей в Интернете, защиту от несанкционированного доступа, улучшение проблем безопасности и уменьшение внутренних угроз.

Здесь будут обсуждаться варианты отслеживания для различных сред Windows, включая ваш домашний ПК, отслеживание пользователей сети сервера и рабочие группы.

Проверьте свою историю веб-поиска

Если вы хотите узнать, какие сайты кто-то на вашем компьютере посещает (например, ваши дети), вы можете найти эту информацию в истории браузера. Хотя технически подкованные пользователи могут знать, как скрыть эту историю, это не помешает проверить.

1. Используя Google Chrome, нажмите на три точки в верхнем правом углу и нажмите «История». Еще один способ доступа к истории на вашем компьютере в Chrome - использовать сочетание клавиш Ctrl + H.

2. В Firefox перейдите к значку в верхней панели, который похож на изображение ниже, и щелкните по нему.

3. В Microsoft Edge в правом верхнем углу окна найдите и щелкните значок падающей звезды. Затем нажмите на историю.

События Windows

Windows отслеживает все действия пользователя на вашем компьютере. Первый шаг, чтобы определить, использует ли ваш компьютер кто-то еще, - определить время, когда он использовался.

1. В строке «Поиска» введите «Просмотр событий» и откройте найденный результат, нажав на него.

2. Чтобы развернуть папку «Журналы Windows», нажмите «Просмотр событий» (локальный). Разверните «Журналы Windows», щелкнув по нему дважды, а затем щелкните правой кнопкой мыши «Система».

3. В выпадающем списке щелкните «Фильтр текущего журнала» и откроится выпадающее окно для источников событий. Прокрутите вниз до пункта «Power-Troubleshooter» и установите флажок рядом с ним. Затем нажмите «ОК».

4. Нажав свойства для просмотра событий, Windows покажет вам, когда ваш компьютер был выведен из спящего режима или включен. Если вы не использовали его в это время, кто-то другой был за вашим компьютером.

Как определить подозрительную активность на сервере Windows

Если вы работаете в среде с несколькими серверами Windows, безопасность имеет жизненно важное значение. Аудит и отслеживание действий Windows для выявления подозрительных действий имеет первостепенное значение по многим причинам, включая:

- Распространенность вредоносных программ и вирусов в ОС Windows.

- Некоторые приложения и программы требуют от пользователей отключения некоторых антивирусов и локальных брандмауэров.

- Пользователи часто не отключают сеансы удаленного рабочего стола, что делает систему уязвимой для несанкционированного доступа.

Лучше принимать профилактические меры, чем ждать, пока произойдет инцидент. Вы должны иметь надежный процесс мониторинга безопасности, чтобы увидеть, кто и когда входит на ваш сервер. Это позволит идентифицировать подозрительные события в отчетах о безопасности сервера Windows.

На что обращать внимание в отчетах Windows

Как администратор сервера, нужно следить за несколькими событиями для защиты вашей сети от злонамеренной активности пользователей Windows, в том числе:

- Неудачные или успешные попытки сеансов удаленного рабочего стола.

- Повторные попытки входа в систему приводят к блокировке пароля.

- Изменения политики группы или аудита, которые вы не внесли.

- Успешные или неудачные попытки входа в сеть Windows, членские службы или контроллер домена.

- Удалены или остановлены существующие сервисы или добавлены новые сервисы.

- Настройки реестра изменены.

- Журналы событий очищены.

- Отключен или изменен брандмауэр Windows или правила.

Как уже говорилось выше, события записываются в журнал событий в Windows. Три основных типа собственных журналов:

Как отслеживать активность пользователей в рабочих группах

Рабочие группы организованы сетями компьютеров. Они позволяют пользователям совместно использовать хранилище, файлы и принтеры.

Это удобный способ совместной работы, простой в использовании и администрировании. Однако без надлежащего администрирования вы открываете свою сеть для потенциальных угроз безопасности, которые могут затронуть всех участников рабочей группы.

Ниже приведены советы о том, как отслеживать активность пользователей для повышения безопасности вашей сети.

Использовать политику аудита Windows

Следуйте приведенным ниже инструкциям, чтобы отслеживать действия участников рабочей группы в вашей сети.

1. Откройте окно выполнить, удерживая нажатой клавишу Windows + R. Введите команду secpol.msc в поле рядом с открыть: и нажмите OK. Это откроет окно локальной политики безопасности.

2. В столбце слева дважды щелкните Параметры безопасности. Затем разверните параметр Локальные политики, щелкнув по нему.

3. Откройте Политика аудита, а затем в меню на правой панели вы увидите множество записей Аудит, для которых установлено значение Нет аудита.

4. Откройте первую запись. На вкладке «Локальные параметры безопасности» выберите «Успешно и неудачно» в разделе «Аудит этих попыток». Затем нажмите «Применить» и «ОК».

Повторите шаги выше для всех записей, чтобы отслеживать активность пользователей в рабочих группах. Помните, что все компьютеры в вашей рабочей группе должны быть надлежащим образом защищены. Если один компьютер заражается, все остальные, подключенные к той же сети, подвергаются риску.

Программы Keylogger отслеживают активность клавиатуры и ведут журнал всего набранного. Они представляют собой эффективный способ отслеживания активности пользователей Windows, чтобы определить, не вмешивался ли кто-либо в вашу конфиденциальность.

Большинство людей, которые используют программы кейлоггера, делают это по злонамеренным причинам. Из-за этого ваша антивирусная программа, скорее всего, поместит его в карантин. Поэтому вам нужно будет удалить его из карантина, чтобы воспользоваться им.

Существует множество причин для отслеживания активности пользователей Windows, включая мониторинг активности ваших детей через Интернет, защиту от несанкционированного доступа, улучшение проблем безопасности и уменьшение внутренних угроз.

Здесь будут обсуждаться варианты отслеживания для различных сред Windows, включая домашний компьютер, отслеживание пользователей сети сервера и рабочие группы.

Проверьте свою историю веб-поиска

Если вы хотите узнать, какие сайты кто-то на вашем компьютере (например, ваши дети) посещает, вы можете найти эту информацию в истории браузера. Хотя технически подкованные пользователи могут знать, как скрыть эту историю, это не помешает проверить.

Используя Google Chrome, нажмите на три точки в верхнем правом углу и нажмите «История».

В Microsoft Edge в правом верхнем углу окна найдите и щелкните значок падающей звезды. Затем нажмите на историю.

События Windows

В меню «Пуск» введите «Просмотр событий» и откройте его, нажав на него.

Чтобы развернуть папку «Журналы Windows», нажмите «Просмотр событий» (локальный).

Разверните Журналы Windows, щелкнув по нему, а затем щелкните правой кнопкой мыши Система.
Дважды щелкните Фильтр текущего журнала и откройте раскрывающееся меню для источников событий.
Прокрутите вниз до пункта «Устранение неполадок с питанием» и установите флажок рядом с ним. Затем нажмите ОК.

Средство просмотра событий Windows покажет вам, когда ваш компьютер был выведен из спящего режима или включен. Если вы не использовали его в это время, кто-то еще был.

Как определить подозрительную активность на сервере Windows

Если вы работаете в среде с несколькими серверами Windows, безопасность крайне важна. Аудит и отслеживание действий Windows для выявления подозрительных действий имеет первостепенное значение по многим причинам, включая:

Распространенность вредоносных программ и вирусов в ОС Windows
Некоторые приложения и программы требуют от пользователей отключения некоторых антивирусов и локальных брандмауэров.
Пользователи часто не отключают сеансы удаленного рабочего стола, что делает систему уязвимой для несанкционированного доступа

Лучше принять профилактические меры, чем ждать, пока произойдет инцидент. У вас должен быть надежный процесс мониторинга безопасности, чтобы увидеть, кто и когда входит на ваш сервер. Это позволит идентифицировать подозрительные события в отчетах о безопасности сервера Windows.

На что обращать внимание в отчетах Windows

Как администратор сервера, необходимо следить за несколькими событиями для защиты сети от злонамеренной активности пользователей Windows, в том числе:

Неудачные или успешные попытки сеансов удаленного рабочего стола.
Повторные попытки входа в систему приводят к блокировке пароля.
Изменения политики группы или аудита, которые вы не внесли.
Успешные или неудачные попытки входа в сеть Windows, членские службы или контроллер домена.
Удалены или остановлены существующие сервисы или добавлены новые сервисы.
Настройки реестра изменены.
Журналы событий очищены.
Отключен или изменен брандмауэр Windows или правила.

Безопасность.
Заявка.
Система.

XpoLog7 автоматизированный инструмент управления журналами, обеспечивающий:

Анализ данных журнала
Автоматическое обнаружение проблем
Проактивный мониторинг правил и событий

Базовый план бесплатный навсегда за 0,5 ГБ / день. Для тех, кто нуждается в большем количестве функций, Xpolog7 также предлагает несколько уровней варианты ценообразования,

Как отслеживать активность пользователей в рабочих группах

Рабочими группами являются организованные сети компьютеров. Они позволяют пользователям совместно использовать хранилище, файлы и принтеры.

Использовать политику аудита Windows

Следуйте приведенным ниже инструкциям, чтобы отслеживать действия участников рабочей группы в вашей сети.

Откройте Run, удерживая клавишу Windows и клавишу R.
Введите secpol.msc в поле рядом с Open: и нажмите OK.

Откроется окно локальной политики безопасности.

В столбце слева дважды щелкните SecuritYнастройки, Затем разверните параметр Локальные политики, щелкнув по нему.
Откройте Audit Policy, а затем в меню на правой панели вы увидите множество записей Audit, для которых установлено значение Not Defined.

Откройте первую запись. На вкладке «Локальные параметры безопасности» выберите «Успешно и неудачно» в разделе «Аудит этих попыток» Затем нажмите Применить и ОК.

Keyloggers

Большинство людей, которые используют программы кейлоггера, делают это по злонамеренным причинам. Из-за этого ваша антивирусная программа, скорее всего, поместит его в карантин. Поэтому вам нужно будет удалить карантин, чтобы использовать его.

Существует несколько бесплатных программ для кейлоггеров, которые вы можете выбрать, если вы находитесь на рынке.

Читайте также: