开启登录审核监视用机情况

吕梁

启用Windows 10系统的审核功能后，系统就会跟踪并记录系统使用事件。利用系统审核功能，我们不仅可以根据系统运行状态对故障进行排除，还可以监视用户在计算机上进行的操作。如果要判断在自己没有使用电脑的情况下，电脑是否被其他人登录造访，只要保证在开启了系统登录审核功能的情况下，借助Windows事件查看器就能一探究竟。

1.通过组策略开启登录审核功能

在默认的情况下，Windows的登录审核策略处于关闭状态，我们需要首先开启此功能。按下Win+R组合键启动“运行”程序框，在运行框中输入GPEDIT.MSC并回车，启动组策略编辑器（图1）。

在组策略编辑器的左侧窗格导航栏内，依次定位到“计算机配置→Windows设置→安全设置→本地策略”，然后单击下属的“审核策略”组，以显示其包含的各种审核项目（图2）。

接下来，双击右侧窗格列表中的各种审核策略，尤其是“审核登录事件”和“审核账户登录事件”，在审核操作列表中，将“成功”和“失败”选项均加以勾选，最后点击“应用”和“确认”按钮（图3）。

2.通过事件查看器查看非法登录

右键单击Windows 10“开始”按钮，然后点击弹出菜单中的“事件查看器”选项，启动事件查看器（图4）。

在事件查看器窗口左侧的导航栏内，依次點击“Windows日志→安全”;随后，在中部窗格中会出现许多具有登录日期和时间戳的条目（图5）。由于每次登录时，Windows会在数分钟内记录许多登录条目，故而可以此来判断系统被执行登录操作的时间。

双击“任务类别”为Special Logon（特殊登录）的条目，在打开的“时间属性”窗口中，可看到登录账户名、账户域等信息（图6）。此外，通过事件窗口右侧的“筛选当前日志”链接，可根据情况有目的地筛选日志记录，以便更快、更精准地定位和深入研判登录情况。

尽管可以在上述事件窗口中看到这些系统登录的日志，但对于足够聪明的入侵者来说，完全可以在访问后清除掉所有的事件日志。为了预防这种情况的发生，我们可以通过设置，让系统记住上次登录的事件，并使这些信息不能被删除。为此，需要借助于注册表编辑器来完成任务。

按下Win+R组合键，启动“运行”对话框，输入REGEDIT打开注册表编辑器。在注册表编辑器内，依次定位到“HKEY_LOCAL_MACHIKIE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼System”（图7）;右键单击System项，选择“新建→DWORD（32位）值”，新建一个DWORD值（图8）;随后，将该新建值的名称修改为DisplayLastLogonlnfo，双击编辑DisplayLastLogonlnfo值，将其“数值数据”修改为1，然后点击“确定”（图9）。这样，当下次登录到计算机时，将会首先看到上次登录Windows的时间以及任何尝试的失败记录，不论是自己登录系统还是陌生人登录系统的记录，都会有所记录和提示。

安全审核无论对于个人计算机还是企业的系统，都非常重要。由于审核日志能够记录是否有违反安全的事件发生，如果遭到入侵，正确的审核日志设置所生成的事件记录，将包含非常有用的入侵信息，为进一步研判入侵事件提供重要的依据。因此，对资料安全比较敏感的个人或部门，要充分用好这一特性设置。