Заглянем в Корзину
Вполне вероятно, что неизвестный мог что-то удалить и забыть при этом очистить Корзину. Во-первых, это позволит понять, что именно было удалено
Во-вторых, позволит восстановить это что-то, если оно важно для вас или представляет какой-то интерес для дальнейшего расследования в изучении действий неизвестного
Для этого просто открываем Корзину и сортируем файлы и папки в ней по дате удаления. Просто кликаем по заголовку столбца «Дата удаления» и содержимое сортируется в нужном нам порядке. Ищем интересующий период времени и смотрим, было ли что-то удалено и что именно (если было).
Не исключено, что неизвестный удалил это из Корзины или целиком ее очистил в процессе заметания следов. Но чем черт не шутит, потому лучше всего перепроверить.
Как узнать кто установил программу и когда
И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам.
Открываем логи Windows, журнал «Приложение (Application)» или «Система (System)», все зависит от инсталлятора которым собран пакет, так как есть те, что используют метод MsiInstaller , но есть и другие. Теперь запускаем инсталлятор LogParser. После установки я открываю журнал «Приложение», где я вижу ряд событий,
первое это событие с ID 1040 покажет вам начало установки программы:
Событие ID 1040: Начало транзакции установщика Windows: C:\Users\Администратор.ROOT\Desktop\LogParser.msi. ИД клиентского процесса: 3076.
Далее идет сообщение с кодом ID 10000.
Запуск сеанса 0 — 2020-04-09T14:38:53.211497000Z.
Далее вы увидите событие, где заканчивается установка программы ID 1042
Окончание транзакции установщика Windows: C:\Users\Администратор.ROOT\Desktop\LogParser.msi. ИД клиентского процесса: 3076.
Завершается сеанс событием с кодом ID 10001
Завершение сеанса 0, запущенного 2020-04-09T14:38:53.211497000Z.
И заканчивается установка программы событием с кодом ID 11707
Иногда вы можете увидеть событие с ID 1033.
Установщик Windows выполнил установку продукта. Продукт: Log Parser 2.2. Версия: 2.2.10. Язык: 1033. Изготовитель: Microsoft Corporation. Установка завершена с состоянием: 0.
Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию
Для этого в правой части найдите пункт «Фильтр текущего журнала»
В источниках событий выберите из выпадающего списка пункт MsiInstaller.
В итоге у меня получилось вот так.
Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOT\Администратор.
Так, что в журнале «Приложение (Application)» советую искать ID 1033 и ID 11707
Причина, по которой мой пользователь показывает SYSTEM, заключается в том, что я являюсь единственным пользователем системы и не создал независимых учетных записей пользователей при установке Windows 10.
Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM
Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.
Узнаем, кто и когда включал компьютер и входил в Windows 10 с помощью редактора реестра
В первом способе используется редактор реестра Windows 10. Рекомендую предварительно сделать точку восстановления системы, может пригодиться.
- Нажмите клавиши Win+R на клавиатуре (Win — это клавиша с эмблемой Windows) и введите regedit в окно «Выполнить», нажмите Enter.
- В редакторе реестра перейдите к разделу (папки слева) HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System
- Нажмите правой кнопкой мыши в пустом месте правой части редактора реестра и выберите «Создать» — «Параметр DWORD 32 бита» (даже если у вас 64-разрядная система).
- Введите имя DisplayLastLogonInfo для этого параметра.
- Дважды кликните по вновь созданному параметру и задайте значение 1 для него.
По завершении закройте редактор реестра и перезагрузите компьютер. При следующем входе в систему вы увидите сообщение о предыдущем успешном входе в Windows 10 и о неудачных попытках входа, если такие были, как на скриншоте ниже.
IRP-система штатными средствами Windows
Как мы увидели, встроенный функционал подсистемы журналирования Windows позволяет весьма гибко осуществлять поиск по зафиксированным событиям аудита ИБ, комбинируя различные условия поиска. Однако, у Windows есть еще одна интересная «фишка», которая позволяет использовать сформированные описанным выше образом правила поиска событий — мы говорим про создание задач с определенным триггером в «Планировщике заданий» Windows, что также является штатным функционалом ОС.
Как мы знаем, задачи в ОС Windows могут выполнять совершенно разные функции, от запуска диагностических и системных утилит до обновления компонент прикладного ПО. В задаче можно не только указать исполняемый файл, который будет запущен при наступлении определенных условий и триггеров, но и задать пользовательский PowerShell/VBS/Batch-скрипт, который также будет передан на обработку. В контексте применения подсистемы журналирования интерес для нас представляет функционал гибкой настройки триггеров выполнения задач. Открыв «Планировщик заданий» (taskschd.msc), мы можем создать новую задачу, в свойствах которой на вкладке «Триггеры» мы увидим возможность создать свой триггер. При нажатии на кнопку «Создать» откроется новое окно, в котором в drop-down списке следует выбрать вариант «При событии», а в открывшейся форме отображения установить radio-button «Настраиваемое». После этих действий появится кнопка «Создать фильтр события», нажав на которую, мы увидим знакомое меню фильтрации событий, на вкладке XML в котором мы сможем задать произвольное поисковое условие в синтаксисе XPath-запроса.
Например, если мы хотим выполнять некоторую команду или скрипт при каждом интерактивном входе в систему пользователя Username, мы можем задать в качестве триггера задачи следующее поисковое выражение, уже знакомое нам по примеру выше:
Другой пример: оповещение администратора при подозрительном обращении к системному процессу lsass.exe, который хранит в своей памяти NTLM-хэши и Керберос-билеты пользователей Windows, что может говорить об использовании утилиты Mimikatz или аналогичных ей:
Keyloggers
Программы Keylogger отслеживают активность клавиатуры и ведут журнал всего набранного. Они представляют собой эффективный способ отслеживания активности пользователей Windows, чтобы определить, не вмешивался ли кто-либо в вашу конфиденциальность.
Большинство людей, которые используют программы кейлоггера, делают это по злонамеренным причинам. Из-за этого ваша антивирусная программа, скорее всего, поместит его в карантин. Поэтому вам нужно будет удалить карантин, чтобы использовать его.
Существует несколько бесплатных программ для кейлоггеров, которые вы можете выбрать, если вы находитесь на рынке.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Аудит доступа к объекту
Аудит доступа к объекту по умолчанию выключен, как и другие политики аудита. Чтобы понаблюдать за тем, как работает аудит доступа к объекту, выполните следующие действия. В проводнике перейдите к файлу, к которому у вас есть доступ и откройте свойства этого файла, затем перейдите на вкладку “Безопасность“:
Там нажмите кнопку “Дополнительно” и перейдите на вкладку “Аудит“.
Затем нажмите кнопки “Продолжить” и “Добавить” и в открывшимся окне нажмите на ссылку “Выберите субъект“:
В открывшимся окне впишите логин своего пользователя и нажмите кнопку “Проверить имя“. Если ввели логин верно, то в списке пользователей отобразиться имя вашего пользователя:
Теперь нажмите на кнопку “ОК“, и выставьте все флажки в области “Особые разрешения” и ещё раз нажмите на кнопку “ОК“:
Затем нажмите ещё два раза на кнопку “ОК“, чтобы закрыть дополнительные параметры безопасности и свойства файла.
Дальше запустите оснастку secpol.msc и перейдите в “Локальные политики“. Там откройте “Аудит доступа к объектам” и поставьте флажок “Успех“, затем нажмите “ОК“:
Итак, политику аудита мы включили и на файле аудит настроили. Теперь откройте файл, запишите в него что нибудь и закройте сохранив изменения. Затем откройте журнал “eventvwr.exe” и перейдите в “Журналы Windows / Безопасность“:
Найдите событие с кодом 4656 — это и есть доступ к вашему файлу:
В событии вы увидите:
- ИД безопасности — это ваша учетная запись.
- Тип объекта — File.
- Имя объекта — путь к файлу.
- Имя процесса — путь к файлу программы (System32notepad.exe).
- Ключевые слова — Аудит успеха.
- И другую информацию.
Бэкграунд
В России сложилась интересная ситуация с расследованием инцидентов в сфере информационной безопасности. Большинство инцидентов замалчивается — если, конечно, дело не касается банковских счетов и финансовых транзакций. Администраторы и служба ИБ (если она есть) пытаются предпринять какие-то меры, затем все отчитываются перед руководством и об инциденте забывают. О полноценном расследовании речи, как правило, не идет, потому что либо безопасностью заниматься в компании просто некому, либо есть отдел, который разработал политику безопасности, внедрил современные технические средства, но этим и ограничивается. Ликвидация последствий сводится к смене чувствительной информации, такой как пароли и ключи, переустановке пары-тройки операционных систем (не всегда тех, которые необходимо).
Если следовать букве закона, когда обнаруживается инцидент информационной безопасности, нужно обращаться в государственные органы правопорядка. Но коммерческие структуры редко на это идут: мало того что приходится открыто признаться в собственном косяке, так еще и возникает множество вопросов — лицензионный ли софт, обеспечиваются ли меры, требуемые регуляторами… Потому у плохих ребят складывается ложное ощущение абсолютной безопасности, особенно если эти ребята занимаются взломом ради морального удовлетворения, а не ради коммерческой выгоды. Об одном таком случае я и расскажу в этой статье.
Использование информации файла
Системный журнал windows 7 позволяет установить причину неполадки при самопроизвольной перезагрузке устройства или появлении «экрана смерти». Программа позволит увидеть файл, ответственный за сбой. При возникновении неполадки необходимо запомнить время, в которое она произошла, а затем просмотреть файл и узнать, какой процесс дал сбой в этот момент. Самые серьезные проблемы отмечены как критические.
Кроме сообщений об ошибках, журнал событий windows xp записывает и другую важную информацию. Это полное время загрузки системы и др. Но данные файла необходимо правильно «читать», тогда его просмотр принесет пользу. В левом блоке расположено дерево разделов, где Вы можете найти необходимый элемент оснастки.
Управление простое. Кликните на строку, и в нижней части окна отобразится информация по проблеме. Каждая ошибка содержит атрибуты:
- Имя – подраздел данных, в который сохранилась информация;
- Источник – программа, ставшая катализатором неполадки;
- Код – цифровой шифр, позволяющий найти в Интернете информацию по ошибке;
- Пользователь и компьютер – показывают, кем была запущена задача – каким устройством и от имени какого пользователя. Особенно актуально на серверах.
Другой информации о происходящем за устройством из записи событий узнать нельзя. В нем отображаются не все запущенные программы, а только сбойные. Таким образом, если необходимо просмотреть историю на компьютере, то нужно скачать кейлоггер.
Удалить информацию из этого файла также легко, как очистить журнал посещений в браузере. Для этого перейдите в раздел одним из указанных способов и найдите в левом блоке с деревом тот подраздел, который хотите очистить.
Создание команды
Создадим функцию с помощью который мы сможем выполнять эти действия более удобным для нас способом. Эта функция должна будет учитывать следующие моменты:
- возможность указания времени, указывающие на начало создания лога;
- понятный вывод сообщения соответствующий идентификаторам;
- источник и цель аудита. Например администратор изменивший пароль пользователя;
- тип события — success или fail.
Что бы получить события начинающиеся с определенной даты мы можем использовать существующее свойство ‘StartTime’ в массиве. ‘EndTime’ указывает обратное. В примере ниже мы получим события созданные за сутки:
Выше уже описывалась, что одна из проблем работы с журналом — это отсутствие форматирования каких-то данных. В примере ниже свойство ‘Messages’ хранит сплошной текст, а ‘Properties’ только некоторые отформатированные данные из ‘Messages’:
Пример выше — скорее идеальный случай. У вас может отличаться порядок или другая информация в ‘Properties’. Эти данные точно будут отличаться в логах с разными ID. В случае с одинаковыми ID — это так же может случатся.
Готовая функция, выводящая информацию об этих событиях, будет следующей:
Варианты использования функции:
…
Рекомендую
Недавно измененные файлы
В меню под кнопкой «Пуск» Windows (кроме Windows есть пункт «Недавние файлы»). Там вы также найдете следы деятельности неизвестного. Чтобы выяснить подобную статистику в Windows 8 придется сделать следующие действия: жмем Win+R, в окне пишем «recent» и нажимаем Enter. Откроется папка недавних файлов.
Конечно, может и не повезти, если неизвестный знает о возможности очистить эту папку. Но ее пустота станет еще одним доказательством чужого вмешательства. Ведь вы этого не делали!
Тем не менее, и в случае очистки папки недавних файлов сделать кое-что можно. Откройте Проводник и попробуйте поискать на диске C (можно искать по всем дискам, если у вас их много) файлы с недавней датой изменения.
AUID и PAM
Во время своей работы в системе пользователь может использовать команды su или sudo для изменения своего системного идентификатора (UID), из-за чего процесс отслеживания его деятельности существенно усложняется. Чтобы обойти эту проблему система аудита использует так называемые Audit UID (AUID), которые закрепляются за каждым пользователем во время его входа в систему и остаются неизменными даже несмотря на смену пользователем своего UID с помощью su или sudo. Однако, по умолчанию функция присваивания AUID отключена (именно поэтому восьмой столбец вывода aureport всегда содержит значение -1), и, чтобы ее активировать, необходимо отредактировать некоторые конфигурационные файлы PAM. Для этого открой файл /etc/pam.d/login и добавь строку «session required pam_loginuid.so» перед строкой «session include common-session». Таким же образом измени конфигурационные файлы /etc/pam.d/sshd, /etc/pam.d/gdm (kdm, если ты используешь среду KDE), /etc/pam.d/crond и /etc/pam.d/atd.
Установка
Демон auditd доступен в любом современном Linux-дистрибутиве и может быть установлен с помощью стандартного менеджера пакетов. Например, чтобы установить auditd в Debian/Ubuntu, достаточно выполнить следующую команду:
Кроме самого демона, вместе с пакетом будут установлены три подсобные утилиты, используемые для управления системой аудита и поиска записей в журнальных файлах:
- auditctl – утилита, управляющая поведением системы аудита. Позволяет узнать текущее состояние системы, добавить или удалить правила;
- autrace – аудит событий, порождаемых указанным процессом (аналог strace);
- ausearch – команда, позволяющая производить поиск событий в журнальных файлах;
- aureport – утилита, генерирующая суммарные отчеты о работе системы аудита;
По умолчанию система аудита находится в спящем состоянии и не реагирует ни на какие события (ты можешь убедиться в этом, выполнив команду «sudo auditctl -l»). Чтобы заставить систему сообщать нам подробности каких-либо событий, необходимо добавить правила. Но чтобы понять, как их составлять, придется разобраться с тем, как работает подсистема аудита ядра Linux.
Как узнать когда включали компьютер в мое отсутствие
Все совершаемые действия в системе после включения компьютера запоминаются в журнале событий и обязательно регистрируются с отметкой в «log событий». В этой графе есть точное время, дата всех произведенных действий, произведенных кем-либо.
Для тщательного изучения журнальных записей можно воспользоваться предлагаемым алгоритмом, включающим следующие действия:
- открыть меню «Управление компьютером» нажатием «Win+X»;
- затем открытием окна с главными функциями, увидите надпись о просмотре всех событий;
- нажатием стрелки слева, посредством которой открывается подменю, можно развернуть «Журнал Windows»;
- затем кликнуть при помощи кнопки (правой) на слово «система», затем выбрать «Фильтр текущего журнала»;
- Открыв источники событий, поставить галочку, чтобы можно было просмотреть в алфавитном порядке сведения о включении вашего ПК.Вы сами знаете, когда Вас не было точно у монитора, значит, все включения за этот промежуток времени производили не Вы.
Способ немножко посложнее (посредством «log файла»).
Для ознакомления со всеми событиями операционной системы можно воспользоваться более сложным методом. После открытия папки «Windows», следует найти «WindowsUpdate.log» и открыть его (приложение Блокнот). Затем с помощью поисковика браузера будет легче понять и изучить содержимое полученного содержимого в данном отчете. Для прочтения действия, выполняемого на машине, нужно ввести требуемое событие. Следует знать, что запись в отчетных данных производится с использованием английских букв и цифровых кодов. Здесь скорее всего понадобится переводчик (онлайн), либо знание языка самим пользователем.
О программе TurnedOnTimesView
По данной программе (утилите) анализируются события, зафиксированные в системном журнале. Скачав ее, есть возможность быстро и удобно просмотреть время работы ОС.
Об «Аудите»
Для некоторых версий «Windows» предусмотрен «Аудит», это сервис, фиксирующий включение (запуск) компьютера. Произведение мониторинга производится для разных видов входов (локальные и сетевые), с сохранением временного промежутка, когда были сделаны учетные записи. После активации данного сервиса в Windows будут фиксироваться все действия и события. Для этого предусмотрен специальный журнал «Безопасность», в котором будет все отражено предельно ясно.
Более простым способом является установка надежного личного пароля для входа в систему Вашего ПК, его, естественно, нужно тоже периодически обновлять. Только при соблюдении всех этих правил и выполнении вышеописанных мероприятий можно будет точно знать все о работе своего компьютера. Тем самым предотвратить «изыскательские работы» и даже попытки их совершать нежелательным гостям, или непослушным детям.
Как изменить имя системы и IP-адрес в сети управления доменом?
1. Переименуйте имя системы
1.1. Использование свойств системы
- Загрузите средства удаленного администрирования сервера.
- Запустите установщик.
- Прочтите и примите лицензию и нажмите Принимаю.
- После завершения установки откройте инструмент RSAT.
- На стартовом экране нажмите «Диспетчер серверов».
- Нажмите «Изменить свойства системы».
- Перейдите на вкладку Имя компьютера и нажмите Изменить.
- Нажмите кнопку OK, чтобы подтвердить переименование.
- В поле «Имя компьютера» введите желаемое имя.
- Нажмите ОК.
1.2. Использование нетдома
- Откройте меню «Пуск».
- Запустите командную строку от имени администратора.
- Выполните приведенную ниже команду и нажмите Enter.
- <Текущее имя компьютера>: введите текущее или основное полное DNS-имя компьютера, который вы переименовываете.
- <Новое имя компьютера>: введите полное DNS-имя для переименовываемого компьютера.
- Введите приведенную ниже команду, чтобы присвоить новое имя вашему ПК, и нажмите Enter.
- Перезагрузите компьютер.
- После перезагрузки ПК откройте CMD.
- Выполните приведенную ниже команду.
Мы показали вам два способа изменения имени системы, т.е. один с использованием системных свойств, а другой с помощью Netdom.
Обратите внимание, что какой бы метод вы ни выбрали, вам необходимо обновить объект FRS и обновить объект-член репликации DFS
2. Обновите объект члена FRS.
- Откройте меню «Пуск».
- Откройте Инструменты Windows.
- Выберите Пользователи и компьютеры Active Directory.
- Нажмите «Дополнительные функции» в меню «Вид».
- Разверните узел домена, Система, Служба репликации файлов и Системный том домена (общий ресурс SYSVOL).
- Объекты под томом системы домена (общий ресурс SYSVOL) являются объектами-членами FSR, найдите объект, который показывает старое имя контроллера домена.
- Щелкните правой кнопкой мыши объект FRS Member и выберите Rename.
- Введите новое имя контроллера домена.
3. Обновите объект-член репликации DFS.
- Откройте меню «Пуск».
- Откройте Инструменты Windows.
- Выберите Пользователи и компьютеры Active Directory.
- Нажмите «Дополнительные функции» в меню «Вид».
- Разверните узел домена, System, DFSR-GlobalSettings, Domain System Volume и Topology.
- Найдите объект <DomainControllerName>, показывающий старое имя контроллера домена.
- Щелкните правой кнопкой мыши объект msDFSR-Member и выберите «Переименовать».
- Введите новое имя контроллера домена.
4. Измените IP-адрес контроллера домена.
1. Нажмите клавишу Windows на клавиатуре или нажмите кнопку «Пуск» на панели задач, чтобы открыть меню поиска.
2. Введите cmd в поле поиска и щелкните правой кнопкой мыши первый результат, затем выберите «Запуск от имени администратора».
3. Напишите приведенную ниже команду и нажмите Enter, чтобы удалить все кэшированные записи DNS, созданные локальным DNS-сервером:
4. Выполните приведенные ниже команды одну за другой и нажмите Enter:
5. Теперь выполните приведенную ниже команду, чтобы убедиться, что новый IP-адрес зарегистрирован DNS-сервером:
6. Наконец, выполните приведенную ниже команду, чтобы обновить записи имени субъекта-службы (SPN):
IP-адрес контроллера домена можно легко изменить с помощью встроенного командного инструмента, известного как командная строка или cmd. Все, что вам нужно сделать, это ввести в него несколько команд, и инструмент сделает всю работу за вас.
Является ли контроллер домена таким же, как Active Directory?
Мы не будем давать вам сложные термины, так как хотим, чтобы вы легко их понимали. Active Directory похожа на базу данных. Он хранит информацию о пользователях и компьютерах как об объектах.
С другой стороны, контроллер домена — это служба, которая запускает Active Directory и использует данные, хранящиеся в AD, для аутентификации и предоставления доступа пользователю. Примечательно, что контроллер домена или контроллер домена управляет политиками безопасности Windows NT или Windows Server.
Таким образом, самый простой способ запомнить разницу между Active Directory и DC заключается в том, что Active Directory обрабатывает вашу идентификацию и доступ к безопасности, с другой стороны, контроллеры домена аутентифицируют ваши полномочия.
Поиск событий входа пользователей в журнале событий Windows
После того как вы включили политики аудита входа, при каждом входе пользователя в Windows в журнале Event Viewer будет появляться запись о входе. Посмотрим, как она выглядит.
- Откройте оснастку Event Viewer (
); - Разверните секцию Windows Logs и выберите журнал Security;
- Щелкните по нему правой клавишей и выберите пункт Filter Current Log;
- В поле укажите ID события 4624 и нажмите OK;
- В окне события останутся только события входа пользователей, системных служб с описанием
; - В описании события указано имя и домен пользователя, вошедшего в систему:
New Logon: Security ID: WINITPROa.khramov Account Name: a.khramov Account Domain: WINITPRO
Ниже перечислены другие полезные EventID:
Event ID | Описание |
4624 | A successful account logon event |
4625 | An account failed to log on |
4648 | A logon was attempted using explicit credentials |
4634 | An account was logged off |
4647 | User initiated logoff |
Если полистать журнал событий, можно заметить, что в нем присутствуют не только события входа пользователей на компьютер. Здесь также будут события сетевого доступа к этому компьютеру (при открытии по сети общих файлов или печати на сетевых принтерах), запуске различных служб и заданий планировщика и т.д. Т.е. очень много лишний событий, которые не относятся ко входу локального пользователя. Чтобы выбрать только события интерактивного входа пользователя на консоль компьютера, нужно дополнительно сделать выборку по значению параметра Logon Type. В таблице ниже перечислены коды Logon Type.
Код Logon Type | Описание |
---|---|
System | |
2 | Interactive |
3 | Network |
4 | Batch |
5 | Service |
6 | Proxy |
7 | Unlock |
8 | NetworkCleartext |
9 | NewCredentials |
10 | RemoteInteractive |
11 | CachedInteractive |
12 | CachedRemoteInteractive |
13 | CachedUnlock |
При удаленном подключении к рабочему столу компьютера по RDP, в журнале событий появится записи с Logon Type 10 или 3. Подробнее об анализе RDP логов в Windows.
В соответствии с этой таблицей событие локального входа пользователя на компьютер должно содержать Logon Type: 2.
Для фильтрации события входа по содержать Logon Type лучше использовать PowerShell.
Что такое Журнал событий и для чего он нужен
Даже если компьютер работает без каких-либо сбоев, лучше заранее узнать, где посмотреть журнал ошибок Windows 10. Периодическая его проверка поможет заранее обнаружить и предупредить появление серьезных проблем. При возникновении нештатных ситуаций, когда пользователь не видит явных причин возникновения неполадок, журнал событий Windows 10 является незаменимым помощником. Необходимо учитывать, что даже на исправном компьютере иногда возникают ошибки, которые могут не влиять на качество работы, но при наличии критических ошибок обязательно нужно принимать меры для их устранения.
Аудит события входа пользователей в Windows
16.11.2022
itpro
Active Directory, PowerShell, Windows 10, Windows Server 2019
Комментариев пока нет
При расследовании различных инцидентов администратору необходимо получить информацию кто и когда заходил на определенный компьютер Windows. Историю входов пользователя в доменной сети можно получить из журналов контроллеров домена. Но иногда проще получить информацию непосредсвенно из логов компьютера. В этой статье мы покажем, как получить и проанализировать историю входа пользователей на компьютер/сервер Windows. Такая статистика поможет вам ответить на вопрос “Как в Windows проверить кто и когда использовал этот компьютере”.
Как использовать журнал событий в Windows