跟蹤工作組模式下的用戶活動(dòng)

呂梁

1.使用審核策略實(shí)現(xiàn)活動(dòng)跟蹤

要實(shí)現(xiàn)活動(dòng)跟蹤，首先需要啟用與此相關(guān)的本地安全策略。按下Win+R組合鍵啟動(dòng)“運(yùn)行”框，在“運(yùn)行”框中輸入secpol.msc命令并回車(chē)運(yùn)行，啟動(dòng)“本地安全策略”窗口（圖1）。

在本地安全策略窗口中，從左側(cè)窗格中依次選擇“本地策略→審核策略”，在右側(cè)窗格中會(huì)看到9個(gè)不同的審核策略，這些策略的默認(rèn)“安全設(shè)置”均為“無(wú)審核”狀態(tài)（圖2）。

最后，一一雙擊這些策略，從“審核策略更改”操作窗口中，依次將這9個(gè)策略的審核操作選項(xiàng)“成功”和“失敗”均選中，然后單擊“應(yīng)用”按鈕并點(diǎn)擊“確定”（圖3）。設(shè)置之后的列表顯示狀態(tài)如圖所示（圖4）。

通過(guò)上述操作之后，Windows被配置為跟蹤用戶活動(dòng)狀態(tài)。接下來(lái)就可以跟蹤用戶活動(dòng)，并獲取跟蹤記錄了。

2.用事件查看器跟蹤查看用戶活動(dòng)情況

按下Win+R組合鍵，在“運(yùn)行”對(duì)話框中運(yùn)行eventvwr命令，啟動(dòng)事件查看器（圖5）。

在事件查看器的左側(cè)窗格中，依次選擇“Windows日志→安全”，之后，我們?cè)谥胁看案竦挠涗浿校憧梢钥吹絎indows開(kāi)始記錄所有與安全有關(guān)的事件（圖6）。

雙擊中部窗口中的任意事件，在彈出的“事件屬性”窗口內(nèi)，可看到事件舊信息（圖7）。根據(jù)事件舊的序號(hào)，可判斷創(chuàng)建組或用戶時(shí)記錄的事件。具體情況分為用戶管理、賬戶管理、組管理三類(lèi)情況，分述如下：

要查看工作組中用戶的創(chuàng)建或刪除情況，可通過(guò)相應(yīng)的ID號(hào)來(lái)判斷。如果是在工作組中創(chuàng)建了用戶，就會(huì)出現(xiàn)4728、4720、4722、4738、4732等事件ID;若是刪除了用戶，就會(huì)出現(xiàn)4733、4729、4726等事件ID。具體情況見(jiàn)表（表1）。

要查看用戶賬戶的啟用、禁用、密碼重置、配置文件變動(dòng)、賬戶更名等情況，只需通過(guò)如表中所示的與用戶賬戶相關(guān)的幾個(gè)ID事件，即可獲知具體情況（表2）。

有關(guān)本地組的變動(dòng)情況，如創(chuàng)建本地組、刪除本地組、重命名本地組或從本地組刪除與添加用戶等活動(dòng)，也可以通過(guò)如表中所示的一些舊事件的序號(hào)查看（表3）。