Windows-besturingssystemen hebben tools waarmee we meerdere acties op het besturingssysteem kunnen uitvoeren, zoals het beperken van de toegang, het voorkomen van programmawijzigingen, het verbergen van systeemelementen en nog veel meer.
Een van de meest praktische en fundamentele opties om een correct beheer van het systeem uit te voeren, is na te gaan welke gebruiker toegang heeft gekregen tot het systeem om te controleren of er ongeoorloofde wijzigingen zijn aangebracht door iemand in het bijzonder of door een gedetailleerde controle op beheertaken te houden, controle of beveiliging.
Solvetic zal analyseren hoe we kunnen zien welke gebruikers toegang hebben gekregen tot het besturingssysteem met gedetailleerde toegangsinformatie. Met de volgende video-tutorial kun je jezelf helpen om door middel van audits te controleren wie en op welk moment is ingelogd op een computer die je beheert en zo beveiligingsproblemen in Windows 10 te voorkomen of op te lossen.
1. Aanmeldingscontrole inschakelen in Windows 10
De eerste stap die u moet uitvoeren, is het registreren van gebeurtenissen die verband houden met het opstarten, wat standaard is uitgeschakeld in Windows. Hiervoor hebben we toegang nodig tot de groepsbeleid-editor die alleen beschikbaar is voor de Pro-, Enterprise- en Education-edities van Windows 10, de Pro- en Enterprise-versies van Windows 7 en Windows 8.
Stap 1
Om toegang te krijgen zullen we de volgende toetsencombinatie gebruiken en in het weergegeven venster zullen we het gpedit.msc commando uitvoeren. We drukken op Enter of Accepteren.
+ R
gpedit.msc
Stap 2
In het weergegeven venster gaan we naar de volgende route:
- Apparatuur instellen
- Windows-instellingen
- Veiligheidsinstellingen
- Lokale richtlijnen
- Auditrichtlijn
VERGROTEN
Stap 3
In de rechterkolom selecteren we het beleid met de naam Audit login-gebeurtenissen, we dubbelklikken erop en het volgende venster wordt weergegeven waar we twee soorten login-gebeurtenissen kunnen activeren:
JuistWanneer de sessie soepel begint
FoutWanneer het wachtwoord of de gebruiker onjuist is ingevoerd en de sessie niet kan worden gestart
Stap 4
Klik op Toepassen en OK om de wijzigingen op te slaan. We kunnen zien dat de configuratie correct is uitgevoerd:
VERGROTEN
2. Toegang tot aanmeldingsgebeurtenissen in Windows 10
De volgende stap is om toegang te krijgen tot de Event Viewer die alle Windows-edities met zich meebrengen om de respectieve logins te analyseren.
Stap 1
Om toegang te krijgen tot de gebeurtenisviewer, in dit geval in Windows 10, hebben we de volgende alternatieven:
Stap 2
Zodra we de Event Viewer openen, gaan we naar het pad "Windows Registers / Security" en zien we het volgende:
VERGROTEN
Stap 3
In deze viewer moeten we ons concentreren op de 4624-code die is gekoppeld aan de aanmeldingen en bij het lokaliseren ervan kunnen we erop dubbelklikken om de informatie in detail te kennen:
We kunnen details vinden zoals:
- Naam van het team
- Domein waartoe het behoort
- Geselecteerde evenement-ID
- Prioriteitsniveau gebeurtenis
- Gebruiker
- Datum en tijd waarop de toegang tot het systeem is uitgevoerd
- Betrokken apparatuur
Bovenaan kunnen we veel meer details weergeven die aan het account zijn gekoppeld
Stap 4
Als we niet handmatig willen zoeken naar de ID's die aan de aanmeldingen zijn gekoppeld, is het mogelijk om een aangepaste weergave te maken die alleen die gebeurtenis filtert. Hiervoor klikken we op de knop Aangepaste weergave maken en selecteren daar de optie Beveiliging in het vak Gebeurtenislogboeken en voeren de ID in het betreffende veld in:
Stap 5
Klik op OK, we zullen een naam aan die weergave toewijzen en we zullen alle gebeurtenissen van die specifieke ID kunnen zien:
VERGROTEN
Met dit proces zullen we in detail kunnen weten welke gebruiker en op welke exacte datum ze toegang hebben gekregen tot het systeem om de nodige maatregelen te nemen.
