Operační systémy Windows mají nástroje, které nám umožňují provádět v operačním systému více akcí, jako je omezení přístupu, zabránění modifikaci programu, skrývání prvků systému a mnoho dalších.
Jednou z nejpraktičtějších a nejzákladnějších možností, jak provádět správnou správu systému, je ověřit, který uživatel do systému přistoupil, a ověřit, zda někdo neoprávněně neprovedl konkrétní změny, nebo si ponechat podrobnou kontrolu nad úkoly správy, audit nebo zabezpečení.
Solvetic bude analyzovat, jak můžeme pozorovat, kteří uživatelé přistoupili k operačnímu systému s podrobnými informacemi o přístupu. Pomocí následujícího video tutoriálu si budete moci pomocí auditů ověřit, kdo a kdy se přihlásil k počítači, který spravujete, a předcházet tak či řešit problémy se zabezpečením ve Windows 10.
1. Povolit auditování přihlášení ve Windows 10
Prvním krokem, který je třeba provést, je povolit protokolování událostí spojených se spuštěním, které je ve Windows ve výchozím nastavení zakázáno. K tomu musíme přistupovat k editoru zásad skupiny, který je k dispozici pouze pro edice Pro, Enterprise a Education Windows 10, Pro a Enterprise verze Windows 7 a Windows 8.
Krok 1
K jejich přístupu použijeme následující kombinaci kláves a v zobrazeném okně spustíme příkaz gpedit.msc. Stiskněte Enter nebo Accept.
+ R.
gpedit.msc
Krok 2
V zobrazeném okně přejdeme na následující trasu:
- Nastavení vybavení
- Nastavení systému Windows
- Bezpečnostní nastavení
- Místní směrnice
- Směrnice o auditu
ZVĚTŠIT
Krok 3
V pravém sloupci vybereme zásadu nazvanou Auditovat přihlašovací události, dvakrát na ni klikneme a zobrazí se následující okno, kde můžeme aktivovat dva typy přihlašovacích událostí:
OpravitKdyž relace začne hladce
ŠpatněPokud je heslo nebo uživatel zadán nesprávně a relaci nelze spustit
Krok 4
Změny uložíte kliknutím na Použít a OK. Vidíme, že konfigurace byla provedena správně:
ZVĚTŠIT
2. Přístup k událostem přihlášení ve Windows 10
Dalším krokem je přístup k Prohlížeči událostí, který všechny edice Windows přinášejí za účelem analýzy příslušných přihlášení.
Krok 1
Pro přístup k prohlížeči událostí, v tomto případě v systému Windows 10, máme následující alternativy:
Krok 2
Jakmile přistoupíme k Prohlížeči událostí, přejdeme na cestu „Windows Registers / Security“ a uvidíme následující:
ZVĚTŠIT
Krok 3
V tomto prohlížeči se musíme zaměřit na kód 4624, který je spojen s přihlašovacími údaji, a při jeho vyhledávání na něj můžeme dvojitým kliknutím podrobně znát jeho informace:
Můžeme najít detaily jako
- Název týmu
- Doména, ke které patří
- Vybrané ID události
- Úroveň priority události
- Uživatel
- Datum a čas, kdy byl proveden přístup do systému
- Dotčené vybavení
V horní části můžeme zobrazit mnoho dalších podrobností spojených s účtem
Krok 4
Pokud nechceme ručně vyhledávat ID spojená s přihlášením, je možné vytvořit vlastní zobrazení, které filtruje pouze danou událost. Za tímto účelem klikneme na tlačítko Vytvořit vlastní zobrazení a tam v poli Protokoly událostí vybereme možnost Zabezpečení a do příslušného pole zadáme ID:
Krok 5
Klikněte na OK, uvedenému zobrazení přiřadíme název a budeme moci vidět všechny události daného ID:
ZVĚTŠIT
Díky tomuto procesu budeme moci podrobně vědět, který uživatel a v jaké přesné datum vstoupil do systému, aby přijal nezbytná opatření.
