Как отслеживать активность пользователя в режиме рабочей группы в Windows 11/10

Многопользовательская функциональность в Windows позволила нам удобно использовать его в общественных местах, таких как школы, колледжи, офисы и т. д. В этих местах обычно есть администратор, которому удается следить за действиями работающих там пользователей. Иногда пользователи выходят за свои пределы и модифицируют учетные записи, настроенные в режиме рабочей группы(Workgroup) . Это может иметь последствия для безопасности, поэтому нам следует настроить Windows для отслеживания действий пользователя.

Настроив Windows для мониторинга действий пользователей, мы можем повысить безопасность администрирования, а также можем наказать пользователей-жертв, просматривая их записи в случае правонарушения. В этой статье мы расскажем, как отслеживать действия пользователей в Windows 11/10/8.1/8/7 с помощью политики аудита. Вот как:

Отслеживание действий пользователей(Track User Activity) с помощью политики аудита в режиме рабочей группы(WorkGroup Mode)

1. Нажмите комбинацию Windows Key + R , введите put secpol.msc в диалоговом окне « Выполнить(Run)  » и нажмите Enter , чтобы открыть локальную политику безопасности(Local Security Policy) .

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode

2. В окне Локальная политика(Local Security Policy) безопасности разверните Параметры безопасности(Security Settings) > Локальные политики(Local Policies) > Политика аудита(Audit Policy) . Теперь ваше окно должно выглядеть примерно так:

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-2

3. На правой панели вы можете увидеть 9 Политики аудита… [] не имеют (Audit…[])аудита(No auditing) в качестве предопределенного(pre-defined) параметра безопасности. Нажмите одну(Click one) за другой все политики и выберите « Успех»(Success) и « Отказ(Failure) », нажмите « Применить( Apply) », а затем « ОК(OK) » для каждой политики.

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-3

Таким образом, мы настроим Windows для отслеживания активности пользователя.

Выполните следующие действия, чтобы получить отслеженные записи:

Отслеживайте действия пользователей с помощью средства просмотра событий(Trace User Activity Using Event Viewer)

1. Нажмите комбинацию Windows Key + R , введите put  eventvwr в  диалоговом окне « Выполнить » и нажмите (Run)Enter , чтобы открыть средство просмотра событий(Event Viewer) .

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-4

2. Теперь в окне просмотра событий(Event Viewe) на левой панели выберите Журналы Windows(Windows Logs) > Безопасность(Security) . Здесь Windows ведет учет всех событий, касающихся безопасности.

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-5

3. На центральной панели щелкните любое событие, чтобы получить информацию о нем:

Track-User-Activities-In-Windows-8.1-In-WorkGroup-Mode-6

Теперь вот список идентификаторов(IDs) событий, которые охватывают действия пользователей для учетных записей в режиме рабочей группы:

1. Создать пользователя:(Create User:) Ниже приведены идентификаторы событий(Event IDs) , которые регистрируются при создании пользователя.

  • Код события:(Event ID: ) 4728 | Тип:(Type: ) Успех аудита | Категория:(Category: ) Управление группой безопасности | Описание:(Description: ) Участник добавлен в глобальную группу с включенной безопасностью.
  • Идентификатор события:(Event ID: ) 4720 | Тип:(Type: ) Успех аудита | Категория:(Category: ) Управление учетными записями пользователей | Описание:(Description: ) Создана учетная запись пользователя.
  • Код события:(Event ID: ) 4722 | Тип:(Type: ) Успех аудита | Категория:(Category: ) Управление учетными записями пользователей | Описание:(Description: ) Учетная запись пользователя включена.
  • Код события:(Event ID: ) 4738 | Тип:(Type: ) Аудит успеха | Категория:(Category: ) Управление учетными записями пользователей | Описание:(Description: ) Учетная запись пользователя была изменена.
  • Код события:(Event ID: ) 4732 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление группой безопасности | Описание:(Description: ) Участник добавлен в локальную группу с включенной безопасностью.

2. Удалить пользователя.(Delete User: ) Ниже приведены идентификаторы событий(Event IDs) , которые регистрируются при удалении пользователя.

  • Код события:(Event ID: ) 4733 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление группой безопасности | Описание:(Description: ) Член был удален из локальной группы с включенной безопасностью.
  • Код события:(Event ID: ) 4729 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление группой безопасности | Описание:(Description: ) Участник добавлен в глобальную группу с включенной безопасностью.
  • Код события:(Event ID: ) 4726 | Тип:( Type: ) Аудит успеха | Категория: (Category: ) Управление учетными записями пользователей | Описание:(Description: ) Учетная запись пользователя удалена.

3. Учетная запись пользователя отключена.(User Account Disabled: ) Ниже приведены идентификаторы событий(Event IDs) , которые регистрируются, когда пользователь отключен.

  • Идентификатор события:(Event ID: ) 4725 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление учетными записями пользователей | Описание:(Description: ) учетная запись пользователя отключена.
  • Код события:(Event ID: ) 4738 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление учетными записями пользователей | Описание:(Description: ) Учетная запись пользователя была изменена.

4. Включена учетная запись пользователя.(User Account Enabled: ) Ниже приведены идентификаторы событий(Event IDs) , которые регистрируются, когда пользователь включен.

  • Код события:(Event ID: ) 4722 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление учетными записями пользователей | Описание:(Description: ) Учетная запись пользователя включена.
  • Код события:(Event ID: ) 4738 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление учетными записями пользователей | Описание:(Description: ) Учетная запись пользователя была изменена.

5. Сброс пароля учетной записи пользователя.(User Account Password Reset: ) Ниже приведены идентификаторы событий(Event IDs) , которые регистрируются при сбросе пароля учетной записи пользователя .(User Account Password)

  • Код события:(Event ID: ) 4738 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление учетными записями пользователей | Описание:(Description: ) Учетная запись пользователя была изменена.
  • Код события:(Event ID: ) 4724 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление учетными записями пользователей | Описание:(Description: ) Была предпринята попытка сбросить пароль учетной записи.

6. Набор путей к профилю учетной записи пользователя. (User Account Profile Path Set: )Ниже приведен(Below) идентификатор события(Event ID) , которое регистрируется, когда путь к профилю(Profile Path) устанавливается для учетной записи пользователя.

  • Код события:(Event ID: ) 4738 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление учетными записями пользователей | Описание:(Description: ) Учетная запись пользователя была изменена.

7. Переименование учетной записи пользователя.(User Account Rename: ) Ниже приведены идентификаторы событий(Event IDs) , которые регистрируются при переименовании учетной записи пользователя .(User Account)

  •  Код события:(Event ID: ) 4781 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление учетными записями пользователей | Описание:(Description: ) Имя учетной записи было изменено.
  • Код события:(Event ID: ) 4738 | Type: Аудит успеха | Категория: (Category: ) Управление учетными записями пользователей | Описание:(Description: ) Учетная запись пользователя была изменена.

8. Создать локальную группу.(Create Local Group: ) Ниже приведены идентификаторы событий(Event IDs) , которые регистрируются при создании локальной группы(Local Group) .

  • Код события:(Event ID: ) 4731 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление группой безопасности | Описание:(Description: ) Создана локальная группа с включенной безопасностью.
  • Код события:(Event ID: ) 4735 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление группой безопасности | Описание:(Description: ) локальная группа с включенной безопасностью была изменена

9. Добавить пользователя в локальную группу. (Add User to Local Group: )Ниже приведен(Below) идентификатор события(Event ID) , которое регистрируется при добавлении пользователя в локальную(Local) группу.

  • Код события:(Event ID: ) 4732 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление группой безопасности | Описание:(Description: ) Участник добавлен в локальную группу с включенной безопасностью.

10. Удаление пользователя из локальной группы. (Remove User from Local Group: )Ниже приведен(Below) идентификатор  события(Event ID) , которое регистрируется при удалении пользователя из локальной(Local) группы.

  • Код события:(Event ID: ) 4733 | Тип:(Type:) Аудит успеха | Категория:(Category:)  Управление группой безопасности | Описание:(Description:) Участник был удален из локальной группы с включенной безопасностью.

11. Удалить локальную группу. (Delete Local Group: )Ниже приведен(Below) идентификатор события(Event ID) , которое регистрируется при удалении локальной группы .(Local Group)

  • Код события:(Event ID: ) 4734 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление группой безопасности | Описание:(Description: ) локальная группа с включенной безопасностью была удалена .

12. Переименовать локальную группу.(Rename Local Group: ) Ниже приведены идентификаторы событий(Event IDs) , которые регистрируются при переименовании локальной группы(Local Group) .

  • Код события:(Event ID: ) 4781 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление учетными записями пользователей | Описание:(Description: ) Имя учетной записи было изменено
  • Код события:(Event ID: ) 4735 | Тип:(Type: ) Аудит успеха | Категория: (Category: ) Управление группой безопасности | Описание:(Description: ) локальная группа с включенной безопасностью была изменена

Таким образом, вы можете отслеживать действия пользователей. Эта статья применима для Windows 11/10/8.1 в режиме рабочей группы(Workgroup Mode) . Для домена Active Directory(Directory Domain) процедура будет другой.



About the author

Я инженер-программист с более чем 10-летним опытом работы с продуктами Windows, Office и Google. Я эксперт в Word, Excel и PowerPoint и написал несколько книг на эту тему. В свободное время я люблю играть в видеоигры, читать книги и смотреть фильмы.



Related posts