Peržiūrėkite sėkmingus ir nesėkmingus vietinio prisijungimo bandymus sistemoje „Windows“.

Tirdamas įvairius incidentus, administratorius turi žinoti, kas ir kada prisijungė prie konkretaus Windows kompiuterio. Vartotojų prisijungimų domeno tinkle istoriją galite gauti iš domeno valdiklio žurnalų. Nepaisant to, kartais lengviau gauti informaciją tiesiai iš vietinio kompiuterio įvykių žurnalų. Šiame straipsnyje parodysime, kaip gauti ir analizuoti vartotojo prisijungimo įvykius kompiuteryje / serveryje, kuriame veikia Windows. Ši statistika padės atsakyti į klausimus „Kaip sužinoti, kas ir kada naudojosi „Windows“ kompiuteriu? ir "Kaip patikrinti vartotojo prisijungimo istoriją sistemoje Windows?".

Turinys:

• Įgalinkite vartotojo prisijungimo audito strategiją sistemoje „Windows“.
• Kaip rasti vartotojo prisijungimo įvykius „Windows“ įvykių peržiūros priemonėje?
• Vartotojo prisijungimo įvykių analizė naudojant „PowerShell“.

Įgalinkite vartotojo prisijungimo audito strategiją sistemoje „Windows“.

Pirmiausia įgalinkite vartotojo prisijungimo audito politiką. Norėdami konfigūruoti vietinius grupės strategijos parametrus atskirame kompiuteryje, naudokite gpedit.msc papildinį. Jei norite įgalinti politiką kompiuteriams Active Directory domene, naudokite domeno GPO redaktorių (gpmc.msc).

1. Atidarykite grupės strategijos valdymo konsolę, sukurkite naują GPO ir priskirkite jį organizaciniams vienetams (OU), kuriuose yra kompiuteriai ir (arba) serveriai, kuriems norite įjungti prisijungimo įvykių audito politiką;
2. Atidarykite GPO ir eikite į Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Advanced Audit Policy Configuration -> Audit Policies -> Login/Logoff;
3. Įgalinkite dvi audito politikos parinktis:Audito prisijungimasirAuditas Atsijungti. Tai padės sekti vartotojo prisijungimo ir atsijungimo įvykius. Jei norite stebėti tik sėkmingus prisijungimo bandymus, patikrinkiteSėkmėsparinktis politikos nustatymuose; Tame pačiame skyriuje yra politikos nustatymai, skirti tikrinti paskyros blokavimo įvykius, „Active Directory“ grupių pakeitimus ir kt.
4. Uždarykite GPO rengyklę ir atnaujinkite klientų grupės strategijos parametrus.

Kaip rasti vartotojo prisijungimo įvykius „Windows“ įvykių peržiūros priemonėje?

Įjungus prisijungimo audito strategijas, kiekvieną kartą vartotojui prisijungus prie „Windows“ įvykių peržiūros žurnale bus rodomas prisijungimo įvykio įrašas. Pažiūrėkime, kaip tai atrodo.

1. Atidarykite įvykių peržiūros programą (eventvwr.msc);
2. Išskleiskite „Windows Logs“ ir pasirinkiteSaugumas;
3. Dešiniuoju pelės mygtuku spustelėkite jį ir pasirinkiteFiltruoti dabartinį žurnalą;
4. Įveskite įvykio ID4624laukelyje ir spustelėkite Gerai.
5. Bus rodomi tik vartotojo ir sistemos paslaugos prisijungimo įvykiai su aprašymu:An account was successfully logged on.
6. Įvykio aprašyme yra vartotojo, prisijungusio prie kompiuterio, vardas ir domenas:

   New Logon:
   Security ID: WOSHUBa.muller
   Account Name: a.muller
   Account Domain: WOSHUB

Toliau rasite kitų naudingų įvykių ID:

Filtruotame įvykių žurnale bus ne tik vietinio vartotojo prisijungimo įvykiai. Taip pat yra įvykių, skirtų tinklo prieigai prie šio kompiuterio (kai atidarote bendrinamus failus arba naudojate bendrinamus spausdintuvus), įvairių paslaugų vykdymo ir suplanuotų užduočių įvykių ir kt. Kitaip tariant, yra daug įvykių, nesusijusių su vietinio vartotojo prisijungimu.

ThePrisijungimo tipaskodas gali būti naudojamas filtruoti tik interaktyvių vartotojų prisijungimų prie kompiuterio konsolės (vietinės) įvykius. Žemiau esančioje lentelėje rodomi prisijungimo tipo kodai.

Įrašai su prisijungimo tipu10arba3rodomi įvykių žurnale, kai nuotoliniu būdu prisijungiate prie kompiuterio darbalaukio naudodami RDP. Sužinokite daugiau, kaip analizuoti KPP ryšio žurnalus sistemoje Windows.

Pagal šią lentelę vietinio vartotojo prisijungimo įvykyje turi būti prisijungimo tipas:2.

Šis įvykio ID taip pat bus rodomas, jei naudojate automatinį Windows prisijungimą.

Norėdami filtruoti prisijungimo įvykius pagal prisijungimo tipą, geriau naudoti „PowerShell“.

Vartotojo prisijungimo įvykių analizė naudojant „PowerShell“.

Tarkime, kad jūsų užduotis yra išsiaiškinti, kurie vartotojai neseniai prisijungė prie šio kompiuterio. Mus domina tik interaktyvūs prisijungimo įvykiai (naudojant kompiuterio konsolę) suLogonType =2. Mes naudosimeGet-WinEventcmdlet, kad pasirinktumėte įvykius iš įvykių peržiūros programos žurnalų.

Šis „PowerShell“ scenarijus rodo naudotojų prisijungimo prie dabartinio kompiuterio istoriją ir pateikia ją kaip grafinę „Out-GridView“ lentelę.

$query = @'
<QueryList>
<Query Id='0' Path="Security">
<Select Path="Security">
*[System[EventID='4624']
and(
EventData[Data[@Name="VirtualAccount"]='%%1843']
and
EventData[Data[@Name="LogonType"]='2']
)
]
</Select>
</Query>
</QueryList>
'@
$properties = @(
@{n='User';e={$_.Properties[5].Value}},
@{n='Domain';e={$_.Properties[6].Value}},
@{n='TimeStamp';e={$_.TimeCreated}}
@{n='LogonType';e={$_.Properties[8].Value}}
)
Get-WinEvent -FilterXml $query | Select-Object $properties|Out-GridView

Jei norite pasirinkti pastarųjų dienų prisijungimo įvykius, galite pridėti vamzdį su tokia sąlyga:

Taip pat skaitykite:Kaip ištaisyti prisijungimo klaidą: Vietinė šios sistemos politika neleidžia jums prisijungti interaktyviai

|Where-Object {$_.TimeStamp -gt '27/04/23'}

Norėdami gauti informaciją iš nuotolinių kompiuterių, galite naudoti cmdlet Get-WinEvent. Pavyzdžiui, norėdami gauti vartotojo prisijungimo istoriją iš dviejų nuotolinių kompiuterių, paleiskite šį scenarijų:

'mun-rds1', 'mun-rds2' |
ForEach-Object {
Get-WinEvent -ComputerName $_ -FilterXml $query | Select-Object $properties
}

Jei RPC protokolas neleidžiamas, galite naudoti Invoke-Command PowerShell cmdlet norėdami gauti duomenis iš nuotolinių kompiuterių:

Invoke-Command -ComputerName 'mun-rds1', 'mun-rds2' {Get-WinEvent -FilterXml $query | Select-Object $properties}