1、通过组策略开启登录审核功能
默认情况下,登录审核策略是处于关闭状态的,所以我们需要打开。打开方法为:按 Win + R 组合键,打开运行,并输入:gpedit.msc 命令,确定或回车可以快速打开本地组策略编辑器;
本地组策略编辑器窗口中,依次展开到:计算机配置 - Windows 设置 - 安全设置 - 本地策略 - 审核策略,就会显示有关审核策略的项;
双击打开审核的相关策略,可以在属性中,勾选审核这些操作下,同时将成功和失败勾选上,最后点击确定即可,有需要注意的是审核登录事件和审核账户登录事件;
2、通过事件查看器查看非法登录
按 Win + X 组合键,或右键点击左下角的开始菜单,在打开的隐藏菜单项中,选择事件查看器(V)即可;
事件查看器窗口中,依次展开到:Windows 日志 - 安全,其中中间显示的内容,就有很多具有登录日期和时间戳的条目(由于每次Windows 登录时都会记录登录信息,所以可以用来判断系统被执行登录操作的时间);
随便双击个事件,可以在属性窗口中,查到比较多的信息,根据这些信息,可以帮助我们更快、更准确的定位和了解系统登录时的情况;
不过,在计算机中毒的时候,这些系统登录日志有可能会被删除,所以,为了避免这种情况发生,可以通过修改注册表,让系统记住上次登录的事件,并且使这些信息不被删除。
按 WIn + R 组合键,打开运行,并输入:regedit 命令,确定或回车,可以快速打开注册表编辑器,然后在注册表编辑器窗口中,依次展开到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
右键点击 System 项,在打开的菜单项中,选择新建 - DWORD (32位)值(D);
最后,将刚才新建的值命名为 DisplayLastLogonInfo ,然后编辑这个 DWORD (32位)值(D) 值,将数值数据修改成 1 ,最后点击即可;
这样设置以后,下次登录计算机的时候,就会看到上次登录 Windows 的时间以及任何尝试的失败记录,不论是自己登录系统还是陌生人登录系统的记录,都会有所记录和提示
安全审核无论对于个人计算机还是企业的系统,都非常重要。由于审核日志能够记录是否有违反安全的事件发生,如果遭到入侵,正确的审核日志设置所生成的事件记录,将包含非常有用的入侵信息,为进一步研判入侵事件提供重要的依据,因此,对资料安全比较敏感的个人或部门,要充分用好这一特性设置。以上就是Win10本地组策略开启审核策略|禁止删除事件日志文章,如果这篇文章的方法能帮到你,那就收藏攒机帮网站,在这里会不定期给大家分享常用装机故障解决方法。
