呂梁

要實(shí)現(xiàn)活動(dòng)跟蹤,首先需要啟用與此相關(guān)的本地安全策略。按下Win+R組合鍵啟動(dòng)“運(yùn)行”框,在“運(yùn)行”框中輸入secpol.msc命令并回車(chē)運(yùn)行,啟動(dòng)“本地安全策略”窗口(圖1)。
在本地安全策略窗口中,從左側(cè)窗格中依次選擇“本地策略→審核策略”,在右側(cè)窗格中會(huì)看到9個(gè)不同的審核策略,這些策略的默認(rèn)“安全設(shè)置”均為“無(wú)審核”狀態(tài)(圖2)。
最后,一一雙擊這些策略,從“審核策略更改”操作窗口中,依次將這9個(gè)策略的審核操作選項(xiàng)“成功”和“失敗”均選中,然后單擊“應(yīng)用”按鈕并點(diǎn)擊“確定”(圖3)。設(shè)置之后的列表顯示狀態(tài)如圖所示(圖4)。
通過(guò)上述操作之后,Windows被配置為跟蹤用戶活動(dòng)狀態(tài)。接下來(lái)就可以跟蹤用戶活動(dòng),并獲取跟蹤記錄了。

按下Win+R組合鍵,在“運(yùn)行”對(duì)話框中運(yùn)行eventvwr命令,啟動(dòng)事件查看器(圖5)。
在事件查看器的左側(cè)窗格中,依次選擇“Windows日志→安全”,之后,我們?cè)谥胁看案竦挠涗浿校憧梢钥吹絎indows開(kāi)始記錄所有與安全有關(guān)的事件(圖6)。
雙擊中部窗口中的任意事件,在彈出的“事件屬性”窗口內(nèi),可看到事件舊信息(圖7)。根據(jù)事件舊的序號(hào),可判斷創(chuàng)建組或用戶時(shí)記錄的事件。具體情況分為用戶管理、賬戶管理、組管理三類(lèi)情況,分述如下:
要查看工作組中用戶的創(chuàng)建或刪除情況,可通過(guò)相應(yīng)的ID號(hào)來(lái)判斷。如果是在工作組中創(chuàng)建了用戶,就會(huì)出現(xiàn)4728、4720、4722、4738、4732等事件ID;若是刪除了用戶,就會(huì)出現(xiàn)4733、4729、4726等事件ID。具體情況見(jiàn)表(表1)。
要查看用戶賬戶的啟用、禁用、密碼重置、配置文件變動(dòng)、賬戶更名等情況,只需通過(guò)如表中所示的與用戶賬戶相關(guān)的幾個(gè)ID事件,即可獲知具體情況(表2)。

有關(guān)本地組的變動(dòng)情況,如創(chuàng)建本地組、刪除本地組、重命名本地組或從本地組刪除與添加用戶等活動(dòng),也可以通過(guò)如表中所示的一些舊事件的序號(hào)查看(表3)。