เคยสงสัยหรือไม่ว่าคุณสามารถติดตามกิจกรรมการเข้าสู่ระบบของผู้ใช้ใน Windows เพื่อให้คุณสามารถมีบันทึกว่าใครเข้าสู่ระบบและเข้าสู่ระบบเมื่อใด สิ่งนี้เป็นไปได้อย่างสมบูรณ์ในระบบ Windows โดยใช้คุณสมบัติการตรวจสอบการเข้าสู่ระบบ การติดตามกิจกรรมการเข้าสู่ระบบและออกจากระบบของผู้ใช้มีประโยชน์มากในสภาพแวดล้อมเซิร์ฟเวอร์หรือองค์กรที่ข้อมูลเป็นความลับและในสถานการณ์ที่คุณเพียงต้องการทราบว่า "ใครทำเช่นนี้" ในระบบ Windows ของคุณ ตามค่าเริ่มต้น คุณลักษณะการตรวจสอบการเข้าสู่ระบบจะถูกปิดใช้งานใน Windows ในบทความนี้ ให้เรามาดูวิธีเปิดใช้งานการตรวจสอบการเข้าสู่ระบบและวิธีดูกิจกรรมการติดตามบนระบบ Windows
หมายเหตุ: การตรวจสอบการเข้าสู่ระบบพร้อมใช้งานใน Windows 8 รุ่น Pro, Ultimate และ Enterprise เท่านั้น
การตรวจสอบการเข้าสู่ระบบคืออะไร
การตรวจสอบการเข้าสู่ระบบคือการตั้งค่านโยบายกลุ่มของ Windows ในตัว ซึ่งช่วยให้ผู้ดูแลระบบ Windows สามารถบันทึกและตรวจสอบแต่ละอินสแตนซ์ของการเข้าสู่ระบบของผู้ใช้และออกจากระบบกิจกรรมบนคอมพิวเตอร์ท้องถิ่นหรือผ่านเครือข่าย นอกเหนือจากการเข้าสู่ระบบและออกจากระบบการตรึงเหตุการณ์แล้ว คุณลักษณะนี้ยังสามารถติดตามการพยายามเข้าสู่ระบบที่ล้มเหลว ซึ่งมีประโยชน์อย่างยิ่งในการพิจารณาและวิเคราะห์การโจมตีใดๆ บนเครื่อง Windows ของคุณ
เปิดใช้งานการตรวจสอบการเข้าสู่ระบบ
ในการเปิดใช้งานการตรวจสอบการเข้าสู่ระบบ เราต้องกำหนดการตั้งค่านโยบายกลุ่มของ Windows กด “Win + R” พิมพ์ gpedit.msc แล้วกดปุ่ม Enter เพื่อเปิด Windows Group Policy Editor
เมื่อคุณอยู่ใน Group Policy Editor แล้ว ให้ไปที่ "Computer Configuration -> Windows Settings -> Security Settings -> Local Policies" จากนั้นเลือก "Audit Policy" ในบานหน้าต่างด้านซ้าย
การดำเนินการข้างต้นจะแสดงนโยบายบางอย่างในบานหน้าต่างด้านขวา ที่นี่ดับเบิลคลิกที่นโยบาย "ตรวจสอบเหตุการณ์การเข้าสู่ระบบ" เพื่อเปิด โปรดอย่าสับสนระหว่าง "เหตุการณ์การเข้าสู่ระบบการตรวจสอบ" กับ "เหตุการณ์การเข้าสู่ระบบบัญชีตรวจสอบ" เนื่องจากเป็นการตั้งค่าสำหรับวัตถุประสงค์ที่แตกต่างไปจากเดิมอย่างสิ้นเชิง
เมื่อหน้าต่างเปิดขึ้น ให้เลือกทั้งกล่องกาเครื่องหมาย “สำเร็จ” และ “ล้มเหลว” ตอนนี้คลิกที่ปุ่ม "ใช้" และ "ตกลง" เพื่อบันทึกการเปลี่ยนแปลง
นั่นคือทั้งหมดที่ต้องทำ จากจุดนี้ไป ทุกครั้งที่เข้าสู่ระบบ ออกจากระบบ และพยายามเข้าสู่ระบบที่ล้มเหลว จะถูกบันทึกไว้ใน Event Viewer เป็นเหตุการณ์
ดูเหตุการณ์การตรวจสอบการเข้าสู่ระบบ
คุณสามารถดูการเข้าสู่ระบบ ออกจากระบบ และความพยายามในการเข้าสู่ระบบที่ล้มเหลวทั้งหมดใน Windows Event Viewer คุณสามารถเปิด Event Viewer ได้โดยการค้นหาในเมนูเริ่ม หากคุณใช้ Windows 8 คุณสามารถเปิดใช้งานได้โดยใช้เมนู Power User (Win + X)
เมื่อคุณเปิดตัว Event Viewer แล้ว ให้ไปที่ Windows Logs จากนั้นไปที่แท็บ Security
ที่นี่คุณจะพบกับเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยทั้งหมดที่เกิดขึ้นในระบบ Windows ของคุณ หากคุณดับเบิลคลิกที่คีย์เวิร์ด “Audit Success” คุณจะพบรายละเอียด เช่น ผู้ใช้ที่เข้าสู่ระบบหรือออกจากระบบ การประทับเวลา ฯลฯ สำหรับเคล็ดลับ คุณสามารถกรองบันทึกเหตุการณ์โดยใช้ “ID เหตุการณ์” ” หรือ “ประเภทงาน” ดังที่คุณเห็นจากภาพด้านล่าง การตรวจสอบการเข้าสู่ระบบยังติดตามการพยายามเข้าสู่ระบบที่ล้มเหลวด้วย
นั่นคือทั้งหมดที่คุณต้องทำ และง่ายต่อการติดตามการเข้าสู่ระบบของผู้ใช้ในระบบ Windows ของคุณ
หวังว่าจะช่วยได้ และแสดงความคิดเห็นด้านล่างหากคุณประสบปัญหาขณะเปิดใช้งานคุณลักษณะการตรวจสอบการเข้าสู่ระบบใน Windows
