Win10本地组策略开启审核策略|禁止删除事件日志
- 2020-03-10 13:38:20 分类:帮助
Win10审核功能,会跟踪并记录系统使用事件,我们可以根据系统运行状态对故障进行排除,还可以监视用户在计算机上进行的操作。本站这篇文章就是给大家带来的Win10本地组策略开启审核策略教程。
1、通过组策略开启登录审核功能
默认情况下,登录审核策略是处于关闭状态的,所以我们需要打开。打开方法为:按 Win + R 组合键,打开运行,并输入:gpedit.msc 命令,确定或回车可以快速打开本地组策略编辑器;
本地组策略编辑器窗口中,依次展开到:计算机配置 - Windows 设置 - 安全设置 - 本地策略 - 审核策略,就会显示有关审核策略的项;
双击打开审核的相关策略,可以在属性中,勾选审核这些操作下,同时将成功和失败勾选上,最后点击确定即可,有需要注意的是审核登录事件和审核账户登录事件;
2、通过事件查看器查看非法登录
按 Win + X 组合键,或右键点击左下角的开始菜单,在打开的隐藏菜单项中,选择事件查看器(V)即可;
事件查看器窗口中,依次展开到:Windows 日志 - 安全,其中中间显示的内容,就有很多具有登录日期和时间戳的条目(由于每次Windows 登录时都会记录登录信息,所以可以用来判断系统被执行登录操作的时间);
随便双击个事件,可以在属性窗口中,查到比较多的信息,根据这些信息,可以帮助我们更快、更准确的定位和了解系统登录时的情况;
不过,在计算机中毒的时候,这些系统登录日志有可能会被删除,所以,为了避免这种情况发生,可以通过修改注册表,让系统记住上次登录的事件,并且使这些信息不被删除。
按 WIn + R 组合键,打开运行,并输入:regedit 命令,确定或回车,可以快速打开注册表编辑器,然后在注册表编辑器窗口中,依次展开到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
右键点击 System 项,在打开的菜单项中,选择新建 - DWORD (32位)值(D);
最后,将刚才新建的值命名为 DisplayLastLogonInfo ,然后编辑这个 DWORD (32位)值(D) 值,将数值数据修改成 1 ,最后点击即可;
这样设置以后,下次登录计算机的时候,就会看到上次登录 Windows 的时间以及任何尝试的失败记录,不论是自己登录系统还是陌生人登录系统的记录,都会有所记录和提示
这样设置以后,下次登录计算机的时候,就会看到上次登录 Windows 的时间以及任何尝试的失败记录,不论是自己登录系统还是陌生人登录系统的记录,都会有所记录和提示
提示:以上文章的修改针对win10专业版,而win10家庭版,虽然没有内置组策略功能,但由于开启了审核功能和事件跟踪,因此不用执行上以上步骤,也是不会影响查看和跟踪事件
安全审核无论对于个人计算机还是企业的系统,都非常重要。由于审核日志能够记录是否有违反安全的事件发生,如果遭到入侵,正确的审核日志设置所生成的事件记录,将包含非常有用的入侵信息,为进一步研判入侵事件提供重要的依据,因此,对资料安全比较敏感的个人或部门,要充分用好这一特性设置。以上就是Win10本地组策略开启审核策略|禁止删除事件日志文章,如果这篇文章的方法能帮到你,那就收藏白云一键重装系统网站,在这里会不定期给大家分享常用装机故障解决方法。
白云一键重装系统纯净版系统验证失败怎么解决白云一键重装系统纯净版系统验证失败怎么解决 ,最近有一些用户在验证白云一键 重装系统纯净版 系统的时候,出现失败的
华硕B360重装Win7及Bios设置|华硕B360装Win7解决方法已经到了2019年末,微软对于win7的支持也快结束了,所以现在大多数主板都是完美支持win10的。 由于不同的用户习惯,还有部
