Come tenere traccia delle attività degli utenti in modalità WorkGroup su Windows 10/8/7

Funzionalità multiutente in finestre ci ha permesso di usarlo comodamente in luoghi pubblici come scuole, college, uffici, ecc. In questi luoghi, c'è generalmente un amministratore, che riesce a tenere d'occhio le attività degli utenti che vi lavorano. A volte, gli utenti superano i loro limiti e modificano gli account configurati in modalità Gruppo di lavoro. Questo può avere ripercussioni sulla sicurezza, e quindi dovremmo configurare finestre per rintracciare le attività degli utenti.

Configurando Windows per monitorare le attività degli utenti, possiamo aumentare la sicurezza dell'amministrazione e anche punire gli utenti vittima osservando i loro record in caso di reato. In questo articolo ti spiegheremo come monitorare le attività degli utenti in Windows 10 / 8.1 / 8/7 usando la politica di revisione. Ecco come:

Tieni traccia delle attività degli utenti utilizzando la politica di controllo

1. stampa Tasto Windows + R combinazione, tipo put secpol.msc nel Correre finestra di dialogo e colpisci accedere per aprire il Politica di sicurezza locale.

2. Nel Politica di sicurezza locale finestra, espandere Impostazioni di sicurezza -> Politiche locali -> Politica di audit. Ora dovresti avere la tua finestra simile a questa:

3. Nel pannello di destra, puoi vedere 9 Verifica ... [] le politiche hanno Nessun controllo come predefinito impostazione di sicurezza. Fare clic una ad una tutte le politiche ed effettuare la selezione Successo e Fallimento, clic Applicare seguito da ok per ogni politica.

In questo modo, avremo configurato Windows per rintracciare l'attività dell'utente.

Segui questi passaggi per ottenere i record tracciati:

Traccia attività utente utilizzando il Visualizzatore eventi

1. stampa Tasto Windows + R combinazione, tipo put eventvwr in Correre finestra di dialogo e colpisci accedere per aprire il Visualizzatore eventi.

2. Ora, nel Viewe degli eventir finestra, dal riquadro di sinistra, selezionare Registri di Windows -> Sicurezza. Qui Windows registra tutti gli eventi relativi alla sicurezza.

3. Dal riquadro centrale, fai clic su qualsiasi evento per ottenere le sue informazioni:

Ora, ecco l'elenco degli ID evento che copre le attività dell'utente per gli account nella modalità gruppo di lavoro:

1. Creare un utente : Di seguito sono riportati gli ID evento che vengono registrati quando l'utente viene creato.

• ID evento: 4728 | Genere: Audit Success | Categoria: Gestione dei gruppi di sicurezza | Descrizione: Un membro è stato aggiunto a un gruppo globale abilitato alla sicurezza.

• ID evento: 4720 | Genere: Audit Success | Categoria: Gestione degli account utente | Descrizione: È stato creato un account utente.

• ID evento: 4722 | Genere: Audit Success | Categoria: Gestione degli account utente | Descrizione: Un account utente è stato abilitato.

• ID evento: 4738 | Genere: Audit di successo | Categoria: Gestione degli account utente | Descrizione: Un account utente è stato modificato.

• ID evento: 4732 | Genere: Audit di successo | Categoria: Gestione dei gruppi di sicurezza | Descrizione: Un membro è stato aggiunto a un gruppo locale abilitato alla sicurezza.

2. Elimina utente: Di seguito sono riportati gli ID evento che vengono registrati quando l'utente viene eliminato.

• ID evento: 4733 | Genere: Audit di successo | Categoria: Gestione dei gruppi di sicurezza | Descrizione: Un membro è stato rimosso da un gruppo locale abilitato alla sicurezza.

• ID evento: 4729 | Genere: Audit di successo | Categoria: Gestione dei gruppi di sicurezza | Descrizione: Un membro è stato aggiunto a un gruppo globale abilitato alla sicurezza.

• ID evento: 4726 | Genere: Audit di successo | Categoria: Gestione degli account utente | Descrizione: Un account utente è stato cancellato.

3. Account utente disabilitato: Di seguito sono riportati gli ID evento che vengono registrati quando l'utente è disabilitato.

• ID evento: 4725 | Genere: Audit di successo | Categoria: Gestione degli account utente | Descrizione: Un account utente è stato disabilitato.

• ID evento: 4738 | Genere: Audit di successo | Categoria: Gestione degli account utente | Descrizione: Un account utente è stato modificato.

4. Account utente abilitato: Di seguito sono riportati gli ID evento che vengono registrati quando l'utente è abilitato.

• ID evento: 4722 | Genere: Audit di successo | Categoria: Gestione degli account utente | Descrizione: Un account utente è stato abilitato.

• ID evento: 4738 | Genere: Audit di successo | Categoria: Gestione degli account utente | Descrizione: Un account utente è stato modificato.

5. Reimpostazione della password dell'account utente: Di seguito sono riportati gli ID evento che vengono registrati quando viene ripristinata la password dell'account utente.

• ID evento: 4738 | Genere: Audit di successo | Categoria: Gestione degli account utente | Descrizione: Un account utente è stato modificato.

• ID evento: 4724 | Genere: Audit di successo | Categoria: Gestione degli account utente | Descrizione: È stato effettuato un tentativo di reimpostare la password di un account.

6. Set di profili del profilo dell'account utente: Di seguito è riportato l'ID evento che viene registrato quando il percorso del profilo viene impostato per un account utente.

• ID evento: 4738 | Genere: Audit di successo | Categoria: Gestione degli account utente | Descrizione: Un account utente è stato modificato.

7. Rinomina account utente: Di seguito sono riportati gli ID evento che vengono registrati quando l'account utente viene rinominato.

• ID evento: 4781 | Genere: Audit di successo | Categoria: Gestione degli account utente | Descrizione: Il nome di un account è stato cambiato.

• ID evento: 4738 | Genere: Audit di successo | Categoria: Gestione degli account utente | Descrizione: Un account utente è stato modificato.

8. Crea gruppo locale: Di seguito sono riportati gli ID evento che vengono registrati quando viene creato il gruppo locale.

• ID evento: 4731 | Genere: Audit di successo | Categoria: Gestione dei gruppi di sicurezza | Descrizione: È stato creato un gruppo locale abilitato alla sicurezza

• ID evento: 4735 | Genere: Audit di successo | Categoria: Gestione dei gruppi di sicurezza | Descrizione: È stato modificato un gruppo locale abilitato alla sicurezza

9. Aggiungi utente al gruppo locale: Di seguito è riportato l'ID evento che viene registrato quando l'utente viene aggiunto al gruppo Locale.

• ID evento: 4732 | Genere: Audit di successo | Categoria: Gestione dei gruppi di sicurezza | Descrizione: Un membro è stato aggiunto a un gruppo locale abilitato alla sicurezza

10. Rimuovi utente dal gruppo locale: Di seguito è riportato l'ID evento che viene registrato quando l'utente viene rimosso dal gruppo Locale.

• ID evento: 4733 | Genere: Audit di successo | Categoria: Gestione dei gruppi di sicurezza | Descrizione: Un membro è stato rimosso da un gruppo locale abilitato alla sicurezza

11. Elimina gruppo locale: Di seguito è riportato l'ID evento che viene registrato quando viene eliminato il gruppo locale.

• ID evento: 4734 | Genere: Audit di successo | Categoria: Gestione dei gruppi di sicurezza | Descrizione: Un gruppo locale abilitato alla sicurezza è stato eliminato

12. Rinomina gruppo locale: Di seguito sono riportati gli ID evento che vengono registrati quando viene rinominato il gruppo locale.

• ID evento: 4781 | Genere: Audit di successo | Categoria: Gestione degli account utente | Descrizione: È stato cambiato il nome di un account

• ID evento: 4735 | Genere: Audit di successo | Categoria: Gestione dei gruppi di sicurezza | Descrizione: È stato modificato un gruppo locale abilitato alla sicurezza

In questo modo, puoi tracciare gli utenti con le loro attività. Questo articolo è applicabile a Windows 10 / 8.1 in modalità Gruppo di lavoro. Per il dominio Active Directory, la procedura sarà diversa.